Компания Cisco оперативно предоставила рекомендации по снижению потенциального вреда от одной из двух уязвимостей, которые были обнаружены в дампе ShadowBrokers. Для второй уязвимости, которая была закрыта еще в 2011 году, она выпустила повторный бюллетень, чтобы снова обратить на нее внимание клиентов.

ИТ-гигант опубликовал бюллетени, признав наличие обоих багов в устройстве Adaptive Security Appliance (ASA); самая свежая уязвимость была классифицирована как уязвимость высокой степени критичности и, как и вторая брешь, допускает удаленное исполнение кода.

Неизвестная ранее группировка ShadowBrokers на выходных сообщила о том, что ее члены взломали Equation Group — серьезную APT, за которой, как многие считают, стоит АНБ. После взломщики объявили об открытии аукциона, на котором будут продаваться эксплойты, якобы имевшиеся у Equation Group.

Исследователи «Лаборатории Касперского» подтвердили, что между лотами, выставленными на аукционе ShadowBrokers, и эксплойтами и инструментарием, принадлежащими Equation Group, имеется связь.

Большинство эксплойтов в дампе предназначены для взлома сетевого оборудования корпоративного класса, в том числе файерволов Cisco, Juniper и Fortinet.

В Fortinet признали, что версии прошивки продуктов Fortigate вплоть до 4.x подвержены уязвимости, доступной у ShadowBrokers. Компания призвала клиентов срочно обновить прошивку до версии 5.x.

В Cisco пока не успели подготовить для ASA обновления, содержащие патч для последней 0-day. До того как патчи будут готовы, компания советует применить некоторые превентивные меры по защите оборудования.

Уязвимость нулевого дня в реализации SNMP в ASA дает злоумышленнику возможность в удаленном режиме и без аутентификации исполнить вредоносный код на устройстве. В Cisco сообщили о выпуске IPS-сигнатуры для устаревшего оборудования (Legacy Cisco IPS Signature ID: 7655-0) и правила безопасности для системы детектирования угроз Snort (ID: 3:39885).

«Дефект вызывает переполнение буфера в уязвимой части кода. Эту уязвимость можно эксплуатировать, направив специально сконфигурированные SNMP-пакеты на адрес системы, — говорится в бюллетене Cisco. — При наличии эксплойта хакер может удаленно исполнить произвольный код или принудительно перегрузить уязвимую систему. Для эксплуатации уязвимости атакующий должен знать строку сообщества SNMP».

По заявлению Cisco, уязвимыми являются следующие серии продуктов: Cisco ASA 5500, файерволы Cisco ASA 5500-X, сервисные модули Cisco ASA для коммутаторов Cisco Catalyst 6500 и маршрутизаторов Cisco 7600, облачные файерволы Cisco ASA 1000V, Cisco ASAv, Cisco Firepower 9300 ASA, Security Module, файерволы Cisco PIX и сервисные модули для файерволов Cisco FWSM.

Патч для второй уязвимости был выпущен еще пять лет назад; брешь содержится в парсере интерфейса командной строки ASA и открывает возможность вызова сбоя системы при помощи запуска стороннего ПО, а также исполнения вредоносного кода. Чтобы эксплуатировать эту уязвимость, хакер должен пройти аутентификацию, говорят в Cisco. Представитель Cisco Омар Сантос (Omar Santos) написал в блоге:

«Уязвимость удаленного исполнения кода в Cisco ASA CLI была закрыта в 2011 году. Мы опубликовали формальный бюллетень, чтобы привлечь внимание клиентов к проблеме; они должны удостовериться, что уже обновились до версии, которая не подвержена уязвимости, доступной у ShadowBrokers».

«Атакующий может эксплуатировать уязвимость, запустив некоторые недействительные команды на уязвимом устройстве», — говорят в Cisco. В компании подчеркнули, что против этой уязвимости нет временных мер. Брешь содержится в сериях Cisco ASA 5500, Cisco ASA 5500-X, Cisco PIX и Cisco FWSM.

ShadowBrokers предоставили для бесплатного скачивания один файл с эксплойтом. Сам набор эксплойтов будет продан на аукционе. Исследователи сумели быстро проанализировать доступный файл; хакер под ником Xorcat опробовал эксплойт под названием ExtraBacon, проведя эксплуатацию ASA в лабораторных условиях, и подтвердил его работоспособность.

По словам Xorcat, эксплойт позволяет взломщику получить по SSH или telnet доступ к файерволу без аутентификации, отключив парольную защиту.

«Вот и прекрасно, АНБ разработало простой в использовании эксплойт», — написал исследователь, отметив, что атака не привела к отказу оборудования или прерыванию передачи трафика.

Эксперты «Лаборатории Касперского», обнаружившие активность Equation Group в феврале 2015 года, признали очевидную связь между файлами, доступными у ShadowBrokers, и инструментарием Equation Group.

«Хотя мы не можем определить личность хакеров или их мотивы, как не можем с точностью сказать, откуда и каким образом были получены данные эксплойты, сотни тысяч инструментов, имеющихся в дампе, совершенно точно характерны для Equation», — утверждают в «Лаборатории».

Связь подтверждает использование алгоритмов шифрования RC5 и RC6 в файлах ShadowBrokers и Equation Group. Как считают эксперты, в реализации RC5/RC6 в файлах Equation Group выполняется операция вычитания с константой 0x61c88647. По словам «Лаборатории Касперского», файл ShadowBrokers включает 347 реализаций RC5/RC6, которые «функционально идентичны» и используют ту же константу 0x61c88647.

Категории: Главное, Кибероборона, Уязвимости, Хакеры