Взлом коммутаторов Cisco при помощи встроенного Backdoor.

Компания Cisco опубликовала информацию (ID бюллетеня: cisco-sa-20170317-cmp) о критической уязвимости в протоколе Cluster Management Protocol (CMP), который поставляется с программным обеспечением Cisco IOS XE Software. Уязвимость CVE-2017-3881 даёт возможность удалённого исполнения кода с повышенными привилегиями в межсетевой операционной системе Cisco IOS любым неавторизованным удалённым пользователем (которому известно о баге).

О нём точно было известно сотрудникам ЦРУ, что следует из документов, опубликованных на сайте Wikileaks в рамках проекта Vault 7 (Year Zero). Специалисты по безопасности Cisco говорят, что нашли информацию об уязвимости, проведя анализ этих документов.

Протокол CMP основан на протоколе telnet, но поддерживает специфические параметры. Баг связан с некорректной обработкой именно этих специфичных для CMP параметров, которые получены по telnet. Какие конкретно параметры нужно использовать для проявления бага при обработке запроса — не сообщается.

Компания Cisco публикует инструкцию, как проверить наличие подсистемы CMP в программном обеспечении, которое работает на устройстве.

Проверка CMP:

show subsys class protocol | include ^cmp

Если подсистема CMP отсутствует, ответ будет такой:

Switch#show subsys class protocol | include ^cmp
Switch#

Если подсистема CMP присутствует, ответ будет следующий:

Switch#show subsys class protocol | include ^cmp
cmp Protocol 1.000.001
Switch#

В случае наличия подсистемы CMP на вашем коммутаторе можно проверить, принимает ли CMP входящие соединения telnet. И, соответственно, можно ли провести на него вышеупомянутую атаку с удалённым исполнением кода путём специальным образом сформированной команды.

Проверка поддержки входящих соединений telnet:

show running-config | include ^line vty|transport input

Например, в случае использования настроек по умолчанию в строке виртуального терминала (VTY) будут просто указаны номера терминалов без особых примечаний:

Switch#show running-config | include ^line vty|transport input
line vty 0 4
line vty 5 15
Switch#

Настройки по умолчанию включают в себя входящие соединения telnet на всех виртуальных терминалах с 0-го по 15-й. Следовательно, это уязвимая конфигурация.

Для сравнения, вот специальная конфигурация, где только протокол SSH разрешен на всех виртуальных терминалах:

Switch#show running-config | include ^line vty|transport input
line vty 0 4
transport input ssh
line vty 5 15
transport input ssh
Switch#

Такая конфигурация не будет уязвимой.

Cisco проверила версии Cisco IOS XE Software и точно выяснила список 318 коммутаторов и других сетевых устройств, подверженных данной уязвимости. Если устройства нет в списке, то оно точно безопасно.

Список включает 264 коммутатора серии Catalyst, 40 промышленных коммутаторов серии Industrial Ethernet и 14 других устройств Cisco.

Попытки эксплуатации данной уязвимости можно увидеть в логах по сигнатурам Cisco IPS Signature 7880-0, Snort SID 41909 и 41910, пишет компания Cisco.

Обойти уязвимость каким-либо способом невозможно, только если полностью отключить входящие telnet-соединения и оставить SSH. На данный момент Cisco рекомендует такую конфигурацию. Если отключение telnet для вас неприемлемо, можно уменьшить вероятность атаки, ограничив доступ с помощью Infrastructure Protection Access Control Lists.

[ad name=»Responbl»]

Cisco пообещала выпустить патч в будущем.

Cisco стала первым из крупных производителей аппаратного обеспечения, который выявил уязвимость, упомянутую в документах ЦРУ. Пока что о закрытии багов сообщали только разработчики программного обеспечения. Разумеется, документы ещё следует внимательно проанализировать. Сайт Wikileaks пока не выложил файлы эксплойтов ЦРУ в открытый доступ, но обещал предоставить их в первую очередь вендорам для приоритетного закрытия уязвимостей, прежде чем отдать эти инструменты в руки всех желающих. Джулиан Ассанж также упомянул, что опубликованная порция Year Zero — всего 1% от общего объёма Vault 7. Документы находятся в распоряжении Wikileaks и будут выкладываться по частям.

[ad name=»Responbl»]

Модели уязвимых коммутаторов: