После ряда масштабных атак и уязвимостей в сетевых инфраструктурах крупных предприятий министерство национальной безопасности США (DHS) выпустило официальное предупреждение, в котором описало некоторые тактики, используемые опытными хакерами, и призвало уделить особое внимание обеспечению безопасности оборудования.

Предупреждение, обращенное к сетевым операторам (особенно к тем, кто использует оборудование Cisco), выпущено после публикации массы эксплойтов, принадлежащих APT-группировке Equation, хактивистами из ShadowBrokers. Среди обнародованных данных — июньские атаки на ASA, а также атаки SYNful Knock, произошедшие в прошлом сентябре.

Документ, опубликованный DHS, содержит одну простую истину: сетевое оборудование вроде маршрутизаторов или файерволов больше нельзя оставлять без внимания. Такое отношение к безопасности оборудования используется продвинутыми хакерами, эксплуатирующими уязвимости.

«Системные администраторы и ИБ-специалисты следят за безопасностью хостов, и для последних существует множество распространенных средств защиты, например антивирусов. Но сетевые устройства обычно работают в фоновом режиме и не получают такое же количество внимания, до тех пор пока этим не воспользуется злоумышленник», — говорится в тексте алерта.

Сетевое оборудование зачастую становится объектом атак из-за его уязвимой позиции, а также возможности для преступников долго оставаться незамеченными.

«Скомпрометировав устройство, злоумышленники могут присутствовать в сети довольно продолжительное время и оставаться незамеченными, — говорится в документе. — После того как персонал примет меры по ликвидации последствий киберинцидента, злоумышленник, сохранив доступ к сети, может снова скомпрометировать уже очищенные от угроз точки. Чтобы противостоять проникновениям, администраторам следует осуществлять контроль над сетевой инфраструктурой и корректно ее конфигурировать».

DHS также предупредило о рисках, связанных с поставками сетевого оборудования «в серую» или со вторичного рынка. Велика вероятность, что эти продукты были скомпрометированы.

«Непрозрачные поставки сетевого оборудования связаны с повышенным риском компрометации систем посредством модификации аппаратного оборудования или заражения вредоносным ПО, — предупреждают в министерстве. — Кроме того, внедрение неразрешенного или вредоносного ПО может быть произведено уже в ходе эксплуатации, поэтому проверки уровня безопасности оборудования должны осуществляться регулярно».

Из предупреждения следует, что атакующие не всегда располагают эксплойтами для 0-day-уязвимостей. В случае с SYNful Knock, например, хакеры изменили образ операционной системы на маршрутизаторах и надолго затаились в сети, используя специально созданный пакет TCP SYN для установки бэкдора между сервером атаки и скомпрометированным маршрутизатором.

Слабые или дефолтные учетные данные — главная причина первоначального заражения, а уязвимая конфигурация позволяет модифицировать образ ОС на маршрутизаторе.

В июне стало известно об атаках на межсетевые экраны ASA и VPN-шлюзы Cisco. Устройства ASA были модифицированы, что позволило злоумышленникам перенаправлять сетевой трафик на контролируемые ими фишинговые сайты, где у пользователей обманом выманивали учетные данные.

«Вероятно, злоумышленники использовали уязвимость CVE-2014-3393 для внедрения вредоносного кода на целевом устройстве, — говорится в предупреждении. — Затем хакер получал возможность модифицировать содержимое кеша файловой системы Random Access Memory Filing System (RAMFS) и внедрить вредоносный код в конфигурацию устройства».

Два месяца спустя ShadowBrokers опубликовали дамп, содержащий предположительно принадлежащие АНБ эксплойты для оборудования Cisco, Juniper, WatchGuard, Fortinet и TOPSEC. Вендоры разработали патчи и рекомендации для пользователей. Наиболее частой целью для злоумышленников из Equation Group (за которой, как многие считают, стоит АНБ) были устройства Cisco ASA: в дампе доступны эксплойты для различных моделей оборудования, вплоть до систем образца 2011 года. Одна уязвимость нулевого дня для ASA была оперативно закрыта Cisco, но многообразие других эксплойтов делает эти устройства потенциально открытыми для атак на несколько лет вперед.

Уведомление DHS также содержит множество советов по реагированию на инциденты, в том числе рекомендуется применять сетевую сегрегацию, изолировать критически важные компьютеры от сети, ограничить межмашинное взаимодействие, использовать надежные конфигурации сетевых устройств, повысить безопасность доступа при помощи многофакторной аутентификации.

Категории: Главное, Кибероборона, Уязвимости, Хакеры