Cisco Systems предупреждает клиентов о критической уязвимости, позволяющей исполнить произвольный код и получить полный контроль над коммутаторами и роутерами более чем 300 разных моделей. Об этой бреши Cisco стало известно после публикации WikiLeaks документов, приоткрывших завесу над методами взлома, которыми предположительно пользуется ЦРУ.

Дамп, попавший в распоряжение WikiLeaks, известен как Vault 7. В начале марта было опубликовано более 8 тыс. документов из этого архива, свидетельствующих о возможности скрытного проникновения на любые электронные устройства, от сотовых телефонов и «умных» телевизоров до корпоративных систем. В этих документах перечислено много уязвимостей, но инструменты взлома или эксплойты не упомянуты.

Согласно бюллетеню Cisco, обнаруженная благодаря этой публикации уязвимость (CVE-2017-3881) присутствует в коде Cisco IOS и IOS XE, отвечающем за обработку данных, передаваемых по протоколу CMP (Cluster Management Protocol). Используя эту брешь, можно удаленно и без аутентификации вызвать перезагрузку устройства или выполнить код с повышенными привилегиями.

Список затронутых продуктов включает более 300 наименований, в том числе Cisco Catalyst Blade Switch, используемый в оборудовании корпоративного класса от Dell, IBM и HP. Сведений о публичном раскрытии или злонамеренном использовании новой уязвимости у Cisco нет. Патч или альтернативные способы защиты разработчик пока предложить не может.

По словам Cisco, уязвимость CVE-2017-3881 связана с локальным использованием Telnet для подачи сигналов и команд участникам кластера и вызвана двумя причинами. Во-первых, отсутствие ограничений на прием и обработку Telnet-опций, специфичных для CMP, позволяет использовать для передачи подобных сообщений любое Telnet-соединение. Вторая причина, указанная Cisco, — некорректная обработка искаженных Telnet-опций в рамках CMP.

«В качестве временной меры защиты можно деактивировать протокол Telnet для внешних соединений, чтобы исключить этот вектор эксплойта, — пишет в блоге Cisco Омар Сантос (Omar Santos), ведущий инженер из группы реагирования на нарушения безопасности в продуктах компании. — Те, кто не может или не хочет отключать Telnet, могут сократить площадь атаки с помощью списков управления доступом к инфраструктуре».

Cisco также отметила, что уязвимость проявляется на коммутаторах в дефолтной конфигурации. Так, устройства под управлением IOS XE уязвимы, если «подсистема CMP присутствует в образе Cisco IOS XE, запущенном на устройстве, и настройки этого устройства позволяют принимать входящие Telnet-соединения».

По словам Сантоса, решение этой проблемы затрудняет отсутствие у Cisco информации об инструментах и вредоносном ПО, упомянутых WikiLeaks в связи с Vault 7, но пока не раскрытых. Джулиан Ассанж пообещал предоставить вендорам детали уязвимостей позднее. «Расследование с углубленным анализом кода, упомянутого при раскрытии, еще не закончено, — пишет Сантос. — Пока нет дополнительной информации, Cisco мало что может сделать для устранения этой уязвимости».

«Telnet был разработан в 1969 году, задолго до рождения Интернета, поэтому неудивительно, что в нем до сих пор находят множество новых уязвимостей, — отметил Фил Нирей (Phil Neray), вице-президент CyberX по кибербезопасности на производстве. — Поскольку инициаторы кибератак могут с легкостью отыскать в Интернете открытые серверы Cisco, используя open-source-инструменты, мы ожидаем, что новоявленная уязвимость начнет использоваться (злоумышленниками) или для создания масштабных DDoS-ботнетов, или для отслеживания трафика после получения полного доступа к роутеру». По мнению Нирея, новейшая уязвимость должна наконец побудить представителей индустрии окончательно отказаться от Telnet и заняться поиском более современных способов удаленного управления устройствами.

Результаты анализа WikiLeaks-документов, проведенного в Cisco, свидетельствуют о существовании вредоносного ПО, способного атаковать ее устройства и обладающего функциональностью для «сбора данных, вывода данных, выполнения команд с правами администратора (и без фиксации в системном журнале), перенаправления HTML-трафика, манипуляции и модификации (внедрения HTML-кода в веб-страницы), подмены записей в DNS, скрытного туннелирования и совершения других действий».

Анализ также позволил заключить, что авторы этого зловреда приложили много усилий для того, чтобы их детище не вызвало подозрений после заражения. «Похоже, что вирусописатель не жалел ресурсов для обеспечения качества, — пишет Сантос. — По всей видимости, он хотел удостовериться в том, что установка зловреда не вызовет отказ или нарушение функционирования устройства».

Категории: Главное, Уязвимости