URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 104752
[ Назад ]
Исходное сообщение
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено opennews , 15-Сен-15 22:42 
Группа исследователей из специализирующейся на компьютерной безопасности компании FireEye выявила (https://www.fireeye.com/blog/threat-research/2015/09/synful_...) новую вредоносную активность, связанную со скрытой модификации прошивок маршрутизаторов Cisco с внедрением бэкдора, позволяющего контролировать проходящий через маршрутизатор транзитный трафик и использовать маршрутизатор как точку для проведения атак на внутреннюю сеть. В результате исследования в Сети выявлено 14 поражённых  маршрутизаторов, территориально находящихся в Индии, Мексике, Филиппинах и Украине.


Известно, что атака производится как минимум на модели Cisco 1841, 2811 и 3825. Для данных моделей атакующими был подготовлен вариант прошивки, содержащий скрытый бэкдор, в обычных условиях никак себя не проявляющий и активируемый при выявления в трафике специально оформленных управляющих пакетов, что существенно затрудняет выявление атакованных устройств. Как правило, для выявления бэкдора требуется анализ дампа прошивки (http://blogs.cisco.com/security/offline-analysis-of-ios-imag...). В качестве наиболее вероятного способа проникновения на маршрутизатор называется подбор типовых паролей или перехват параметров доступа в результате проведения других атак.


Бэкдор обладает достаточно широкими возможностями, в том числе позволяет загружать модули, расширяющие его функциональность и позволяющие применять различные виды атак. Для активации модуля на
80 сетевой порт (HTTP) маршрутизатора отправляется специально оформленный TCP SYN-пакет. Модули могут представлять собой как независимые исполняемые блоки кода, так и обработчики различной функциональности Cisco IOS. Например, через подобный модуль реализована возможность входа на маршрутизатор по протоколу telnet с предопределённым злоумышленниками паролем.


Бэкдор размещается с внесением изменений в прошивку, что позволяет сохранить его работоспособность после перезагрузки.


URL: https://www.fireeye.com/blog/threat-research/2015/09/synful_...
Новость: http://www.opennet.me/opennews/art.shtml?num=42969

Содержание
Сообщения в этом обсуждении
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено A.Stahl , 15-Сен-15 22:42 
А раньше на обычные ширпотребные мамки лепили джампер, запрещающий изменение БИОСа. Но раньше и трава была зеленее и милиция добрее.
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено klalafuda , 15-Сен-15 23:22 

Раньше и на флешках был крыжик 'read only'. А сейчас - пишите люди добрые ничего не жалко.
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 16-Сен-15 00:09 
> Раньше и на флешках был крыжик 'read only'.

Так и сейчас у большинства чипов флеша есть пин _WP, хардварно вырубающий запись. А уж куда он подключен в конкретной системе - уже дело создателей этой системы.

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено pavlinux , 16-Сен-15 16:00 
> А уж куда он подключен в конкретной системе ...

К серверу АНБни

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 16-Сен-15 20:54 
Что, павлуша, теперь анбня к тебе и через шапочку из фольги достучалась? А ты полезай в чугунный водолазный колокол - там ни одного разрыва, отвечаю!
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Айнанимм , 17-Сен-15 06:54 
Принесли мне както на "ремонт" фильдоперсовую флешку с какимето там стразами - у ней этот выклбчатель сдох и она была доступна "только для чтения"... 15 минут гугления и китайский прашивальщик перешил её контралёр выкусив эту "апаратную" защиту...
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 16-Сен-15 00:20 
> Раньше и на флешках был крыжик 'read only'. А сейчас - пишите
> люди добрые ничего не жалко.

И на вебках шторки были...

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Fracta1L , 16-Сен-15 07:25 
И хакеры стучались, прежде чем войти.
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено iPony , 16-Сен-15 08:16 
> на вебках шторки были...

Ну так самому лепить надо. С ноутбуком вот просто, на смартфоне к сожалению сложнее с фронтальной :( Отклеивается.

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 16-Сен-15 10:13 
И бензин по 25 и бакс по 30.
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено daemontux , 16-Сен-15 11:46 
> И бензин по 25 и бакс по 30.

Кто пустил школоту на opennet?
До августа 98 года доллар был по 6р

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено daemontux , 16-Сен-15 11:46 
>> И бензин по 25 и бакс по 30.
> Кто пустил школоту на opennet?
> До августа 98 года доллар был по 6р

И таки да обидеть ни кого не хочу )

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено pavlinux , 16-Сен-15 16:02 
>> И бензин по 25 и бакс по 30.
> Кто пустил школоту на opennet?
> До августа 98 года доллар был по 6р

Студни detected - Курс 1 доллара на 1 мая 1985 года - 0.60 копеек.  

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 16-Сен-15 16:07 
Небось с сайта ЦБ взял, студень )
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено linuxisnotunixitisawindows , 16-Сен-15 23:02 
А в 1400-м доллара ваще не было.
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 16-Сен-15 20:54 
> И на вебках шторки были...

С розовыми крокодильчиками.


"Кенгуру СС3"
Отправлено VaNO , 16-Сен-15 23:27 
Пришлось правда из штатов заказывать. Выключатель там хлипковат, думаю еще пол года и сломается. И еще вызывает подозрение что если её вставить в положении запись разрешена, потом переключить в реад онли не вынимая из разъема, то файлы на неё всё равно пишутся.
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено тигар , 16-Сен-15 09:09 
> А раньше на обычные ширпотребные мамки лепили джампер, запрещающий изменение БИОСа. Но
> раньше и трава была зеленее и милиция добрее.

раньше и наклейки были, чтобы на дискетки 5.25" писать нельзя было при заклееном окошке!1

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено anonymous , 16-Сен-15 12:35 
Раньше наклейки были чтобы PROM не стирался.
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено pavlinux , 16-Сен-15 16:06 
> Раньше наклейки были чтобы PROM не стирался.

Раньше надо было идти в первый отдел, потом к ведущему он к главному инженеру,
чтоб вообще чё-нить записать.  

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено древний Аноним , 16-Сен-15 20:28 
А еще раньше - вообще делать новую глиняную дощечку ...
А еще раньше - топать до шамана, искать новую пещеру с неразрисованными стенами.


"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 15-Сен-15 22:47 
>> территориально находящихся в Индии, Мексике, Филиппинах и Украине

это же главные хостеры порнухи и прочей "оппозиции"! )

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 15-Сен-15 23:03 
И что? Ни ключи ни сертификаты не помогли? Джампер рулит?
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 15-Сен-15 23:13 
Ребята опередили АНБ?
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено _KUL , 16-Сен-15 00:38 
Это похоже они и есть.
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено for mother russia , 16-Сен-15 08:06 
> Это похоже они и есть.

Судя по выбору hardcoded-пакетов авторизации и отсутствию стелс-механизмов, это не АНБ а кто-то поменьше, м.б. просто ушлый хакер :) Там времени больше на реверс ушло чем на код

Интересно, как же они нашли зверя, вряд ли профилактическим дампом прошивки.. неужели IDS-системы на что-то годны?

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено абвгдейка , 16-Сен-15 09:30 
>Судя по выбору hardcoded-пакетов авторизации и отсутствию стелс-механизмов, это не АНБ а кто-то поменьше

ну ок - контора, нанятая АНБ :)

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 16-Сен-15 20:57 
> ну ок - контора, нанятая АНБ :)

Не, это путинский след, чувак.


"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Есюки , 17-Сен-15 08:08 
Фольги, срочно фольги!
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено grec , 15-Сен-15 23:16 
Как там акции циско? Еще не упали?
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено тыц , 15-Сен-15 23:37 
С чего им падать-то?

Если кто-то получит доступ к железке, то сможет поставить модифицированный код с бэкдором.
И что?
Если кто-то получит доступ к твоему компьютеру, будет ровно тоже самое. Не давай своё железо кому попало.

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено тыц , 16-Сен-15 03:01 
И как это относится к текущему случаю?

Смысл данной "уязвимости" практически такой же как у опубликованной недели три назад про подмененный ROMMON -- какие-то люди справились наваять и скомпилировать код успешно запускающийся и притворяющийся IOS-ом. Таким образом теоретическая возможность сделать это была практически осуществлена. Вот и всё.

Никаких фиксов и исправлений IOS-а по этому поводу не предполагается -- нечего исправлять.

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 15-Сен-15 23:37 
>В качестве наиболее вероятного способа проникновения на маршрутизатор называется подбор типовых паролей или перехват параметров доступа в результате проведения других атак.

ещё и хрен знает, где именно дыра, поди кто-то анбшный бекдор пронюхал

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 16-Сен-15 12:30 
Спецслужбы в сотрудничестве с производителями делали дырявые сетевые железки и даже не думали, что настанет момент когда им отстрелят ногу из их же оружия.
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 16-Сен-15 00:05 
> и опубликовала сигнатуры (Snort Rule SID:36054

Цыска наносит ответный удар. А я то думал - нафига они его к рукам прибрали...

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Нанобот , 16-Сен-15 07:19 
В cisco до сих пор ниасилили запретить запуск неподписаного кода?
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 16-Сен-15 09:38 
Так может ключик кто-то из уполномоченных в кафе забыл :)
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Клыкастый , 16-Сен-15 11:18 
как у всех фанатов security by obscurity. типа "прошивки оне могут взять только у нас, а мы никому не скажем как оне пишутся"
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 16-Сен-15 11:36 
Как пишутся - известно, развидеть бы такое.


"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 16-Сен-15 14:20 
Пусть и не начинают. И да, никакого гита мы не знаем, только перфорс.
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Andrey Mitrofanov , 16-Сен-15 14:38 
> Пусть и не начинают.

Дм уж. PE-exe-шники, подписываемые у м-с-а это забавно. Пока издаля и не начнёт заливать сверху, снизу, в двери и в окна.

> И да, никакого гита мы не знаем, только
> перфорс.

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Аноним , 16-Сен-15 15:19 
А что, один из индусов в сиске нам рассказывал, что он фиг знает сколько лет назад познал перфорс, а всякие наши новомодные приколы, типа гита, ещё не достаточно штобильны. Да и вообще, лень ему новое изучать.
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено VolanD , 16-Сен-15 12:26 
Чет я не понял. Чуваки написали ПО с бэкдором, которое поставили на циску и оно там завелось. Т.е. это бекдор не в родной прошивке, а в прошивке, которую сделали они? Если так- и чо? Во-первых, им еще нужно поставить ее на мою железку. А если им это и удалось, то они в принципе то и так могут делать что хотят, раз им удалось попасть на нее. Я чет не понял. Да и к тому же, с таким же успехом можно подставить любого другого вендора, если еще к тому же под его железку есть опенкод прошивка...
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено клоун , 16-Сен-15 16:17 
... скрытая модификация прошивок

... позволяет контролировать проходящий траффик

... способ проникновения: подбор типовых паролей

... никак себя не проявляет

... выявляется через анализ дампа прошивки

"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено тыц , 16-Сен-15 17:28 
И всё это только после того как удастся УЖЕ поиметь доступ к девайсу и поставить на него прошивку с бэкдором.
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено un4me , 17-Сен-15 11:37 
Господа, а где бы взять скрипты NSEшные для сканирования nmap'ом, в блоге описание есть а файлов нет...
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено un4me , 17-Сен-15 11:43 
Сори перечитал все тут https://github.com/fireeye/synfulknock/tree/master/NSE
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Барак Обама , 17-Сен-15 16:11 
Акции Juniper резко поднялись в цене.
"Зафиксирована атака с подстановкой бэкдора в маршрутизаторы ..."
Отправлено Anonplus , 18-Дек-15 19:50 
В джуниперах сегодня тоже нашли бекдор. Причем, "из коробки" ;)