Компания Juniper Networks признала, что некоторые эксплойты в дампе от ShadowBrokers были нацелены на ее продукты.

«Проанализировав доступные файлы, мы пришли к выводу, что некая группировка атаковала устройства NetScreen на базе ОС ScreenOS, — заявил Деррик Шоль (Derrick Scholl), директор по реагированию на киберинциденты в Juniper. — Мы пока оцениваем масштабы атаки, но первоначальные сведения говорят о том, что ее целью был загрузчик ОС, а не эксплуатация уязвимостей в устройствах на ScreenOS».

«Мы продолжим выяснять, какой уровень доступа достаточен для осуществления атаки, возможно ли детектировать ее и подвержены ли проблеме другие устройства», — отметил эксперт.

Эксплойты уязвимостей в продуктах Cisco и Fortinet также были найдены в сливе, опубликованном таинственной группировкой ShadowBrokers, объявившей на прошлой неделе об открытии аукциона, в ходе которого будут распроданы эксплойты знаменитой APT Equation Group — по мнению многих, альтер эго АНБ США.

Equation Group считается самой влиятельной APT-группировкой. Многие исследователи, в том числе эксперты «Лаборатории Касперского», обнаружившие и проанализировавшие эту кибершпионскую сеть в 2015 году, указывают на весьма очевидную связь между используемыми Equation Group эксплойтами и инструментами и эксплойтами, которые продают участники ShadowBrokers.

Juniper — последняя компания из троицы телеком-гигантов, ставших мишенями Equation Group и признавших легитимность кибершпионского инструментария. На прошлой неделе Cisco уведомила о том, что одна из атак использовала уязвимость нулевого дня в файерволе ASA, которая до сих пор не запатчена. Другая брешь в парсере интерфейса командной строки в ASA была закрыта еще в 2011 году; она могла вызвать отказ устройств, использующих уязвимое ПО, и открывала возможность удаленного исполнения кода при условии наличия доступа к устройству, подверженному багу.

Уязвимость нулевого дня в реализации SNMP в ASA дает злоумышленнику возможность в удаленном режиме и без аутентификации исполнить вредоносный код на устройстве. В Cisco сообщили о выпуске IPS-сигнатуры для устаревшего оборудования (Legacy Cisco IPS Signature ID: 7655-0) и правила безопасности для системы детектирования угроз Snort (ID: 3:39885).

«Дефект вызывает переполнение буфера в уязвимой части кода. Эту уязвимость можно эксплуатировать, направив специально сконфигурированные SNMP-пакеты на адрес системы, — говорится в бюллетене Cisco. — При наличии эксплойта хакер может удаленно исполнить произвольный код или принудительно перегрузить уязвимую систему. Для эксплуатации уязвимости атакующий должен знать строку сообщества SNMP».

На прошлой неделе исследователь Мустафа Аль-Бассам (Mustafa Al-Bassam) изучил еще один эксплойт Equation Group в дампе BENIGNCERTAIN. Этот эксплойт направлен против устаревших файерволов Cisco PIX, уже не поддерживаемых производителем. Атака, по словам эксперта, заключается в возможности удаленного обнаружения и похищения приватных RSA-криптоключей.

«Анализ показал, что инструмент является удаленным эксплойтом устройств Cisco PIX; он посылает IKE-пакет на уязвимое устройство, вызывая частичную утечку памяти, — рассказал Аль-Бассам. — Скомпрометированные данные парсятся, в результате позволяя выявить приватный RSA-криптоключ и другую секретную информацию о конфигурации».

В пятницу Cisco отреагировала на эти сведения, подчеркнув, что расследование, касающееся BENIGNCERTAIN, не обнаружило новых уязвимостей в актуальных продуктах.

«Даже учитывая то, что линейка Cisco PIX не поддерживается с 2009 года, в целях безопасности клиентов, все еще использующих эти устройства, мы провели расследование и обнаружили, что уязвимость содержится в устройствах PIX версий вплоть до 6.x, — уточнил Омар Сантос (Omar Santos) в бюллетене о ShadowBrokers. — Версии PIX от 7.0 и выше не подвержены уязвимостям BENIGNCERTAIN. Cisco ASA также не содержит уязвимостей».

Что касается Juniper, компания становится объектом атак АНБ не впервые. Продукты Juniper были отдельно упомянуты в докладе Эдварда Сноудена о масштабах слежки АНБ от 2013 года. В конце прошлого года производитель объявил, что удалил «посторонний код» из кода операционной системы ScreenOS; благодаря этой лазейке атакующий мог расшифровывать VPN-трафик, идущий через устройства NetScreen.

В 2013 году журнал Der Spiegel опубликовал статью за авторством Якоба Аппельбаума (Jacob Appelbaum), Джудит Хорхерт (Judit Horchert) и Кристиана Стокера (Christian Stocker), в которой было описано внедрение кода АНБ FEEDTHROUGH, устанавливающего бэкдор в межсетевых экранах NetScreen и VPN-устройств на ОС ScreenOS. Juniper обнаружила и запатчила обе бреши в декабре прошлого года; одна из них устанавливала бэкдор для дешифровки VPN-трафика, другая позволяла удаленно получать доступ к устройствам NetScreen по SSH или telnet.

Категории: Главное, Кибероборона, Уязвимости