A Cisco routerek ismét vesznek a hackerfókuszba

A biztonsági kutatók beszámolnak a rootkitekről és az új hacker és behatolásérzékelő szoftverről a routerekről amelyek a legtöbb internetes forgalmat hordozzák.

Három évvel ezelőtt Michael Lynn biztonsági kutatója fénypontot fektetett a Cisco termékeire, amikor arról beszélt, hogy egy egyszerű "shellcode" programot futott útválasztón engedély nélkül. Lynn ellentmondásos beszéde volt a legnagyobb történet a Black Hat 2005-ben. Meg kellett mondania a napi munkájáról, hogy megkerülje a cég tilalmát a Cisco megvitatására, és mindkettőt és a konferencia szervezőit gyorsan beperelte a Cisco. A hálózatépítő vállalat azzal érvelt, hogy Lynn bemutatója olyan információkat tartalmaz, amelyek megsértették a vállalat szellemi tulajdonjogait, és Lynn beszéde szó szerint kiszakadt a konferencia anyagcsomagból. Egy megállapodásban a kutatót eltiltották a munkája további megvitatásától, de bemutatásának másolatait (pdf) közzétették.

[További olvasmány: Legjobb NAS dobozok a média streaming és biztonsági mentéshez]

Ma a Cisco vezetője John Stewart biztonsági tisztviselő rendkívül őszinte a tapasztalatról, mondván, hogy cégének helyes oka van - ügyfeleinek és szellemi tulajdonának védelme -, de túl messzire ment. - Valami furcsaságot tettünk - mondta. "Ezért én személyesen szponzoráltam a Black Hat-ot a platina szintjén, hiszen azt hiszem, hogy némi engesztelést tettünk."

Lynn hosszú időn át nem dolgozott. A Cisco versenyzője, a Juniper Networks gyorsan elkapta, de néhány évvel a beszélgetése után nem sok nyilvános vita volt a Cisco hackelésről, Jeff Moss, a Black Hat igazgatója szerint. "Moss úgy véli, hogy a közgazdaságtan egyes Cisco kutatók underground. Minden olyan kód, amely kihasználja a Cisco sérülékenységét, olyan nagyra becsüli, hogy a hacker, aki úgy dönt, hogy felfedezi az eredményeit, mint eladja őket egy biztonsági cégnek vagy kormányhivatalnak, gyakran sok pénzt ad. Mike Lynn sebezhetősége 250 000 dollárért volt, számol.

De ebben az évben a dolgok kinyíltak. A Black Hat szervezők három tárgyalást terveznek a Cisco routereken és az Internetwork operációs rendszeren, hogy futnak. "Az idén hirtelen sok mindent eltörött" - mondta Moss.

Az utóbbi időben a Microsoft Windows már nem a hibás vadászati ​​termékeny talaj volt, a kutatók más termékeket keresnek. És a Cisco routerek egy érdekes célpont.

"Ha a hálózat tulajdonosa, akkor a cég tulajdonosa" - mondta Nicolas Fischbach, a hálózati mérnöki és biztonság vezető vezetője a COLT Telecom-tal, az európai adatszolgáltató. "A Windows PC tulajdonosa nem igazán prioritás."

De a Cisco routerei nehezebb célpontot jelentenek, mint a Windows. Nem ismerik a hackereket, és számos konfigurációban jönnek, ezért egy router megtámadása egy másodpercen belül meghiúsulhat. Egy másik különbség az, hogy a Cisco rendszergazdái nem folyamatosan töltik le és futtatják a szoftvert.

Végül a Cisco sok munkát végzett az utóbbi években, hogy csökkentsék a routerek ellen az Internetről indított támadások számát. Fischbach. "Az összes alapvető, nagyon egyszerű felhasználás, amelyet a hálózati szolgáltatások ellen használhatunk, tényleg eltűnt" - mondta. Az a veszély, hogy egy jól konfigurált útválasztó, amelyet valaki a vállalati hálózaton kívülről csapott be, "nagyon alacsony".

Ez nem rontotta el a legfrissebb biztonsági kutatókat.

Két hónappal ezelőtt Core Security kutató Sebastian Muniz új utakat mutatott a Cisco routerek hard-detektálható rootkit-programjainak kialakítására, és ezen a héten Ariel Futoransky munkatársa Black Hat frissítést ad a vállalat kutatási témáiról.

A londoni székhelyű információs kockázatkezelés (IRM) két kutatója is tervezi, hogy kiadja a GNU Debugger módosított verzióját, amely lehetővé teszi a hackerek számára, hogy mi történik, amikor a Cisco IOS szoftver feldolgozza a kódot, és három shellkódos programot amely a Cisco router vezérléséhez használható.

Az IRM kutatói, Gyan Chawdhary és Varun Uppal második pillantást vetettek Lynn munkájára. Különösen azt vették közelebbről, hogy Lynn hogyan tudta megkerülni a Check Heap nevű IOS biztonsági funkciót, amely a forgalomirányító memóriájába keresi a módosításokat, amelyek lehetővé teszik a hacker számára, hogy jogosulatlan kódot futtasson a rendszeren.

Felfedezték, hogy míg a Cisco blokkolta a technikát, amelyet Lynn a Check Heap trükközésére használt, még mindig voltak más módok, hogy kódjukat a rendszerre rakják. Lynn felfedezése után a Cisco "egyszerűen javította a vektort" - mondta Chawdhary. "Bizonyos értelemben a hiba továbbra is fennáll."

A router memóriájának egy részét úgy módosította, hogy megkerülik a Check Heap-ot, és futtatják a shellkódot a rendszerre. a saját kutatása lehetséges, a Felix "FX" Lindner is beszámol a Cisco hackeléséről a Black Hat-ban. Lindner, a Recurity Labs vezetője azt tervezi, hogy kiadja az új Cisco forensics eszközét, a CIR (Cisco Incident Response) nevű eszközt, amelyet az elmúlt néhány hónapban tesztelt. Lesz egy ingyenes verzió, amely ellenőrzi a forgalomirányító memóriáját a rootkitek számára, míg a szoftver kereskedelmi verziója képes felderíteni a támadást és elvégezni az eszközök törvényszéki elemzését.

Ez a szoftver olyan hálózati szakembereket fog biztosítani, mint a Fischbach hogy menjen vissza, és nézze meg a memóriát egy Cisco eszköz és nézd meg, hogy már manipulált. - Azt hiszem, van rá szükség - mondta. "Számomra az eszközkészlet része, amikor forensikusokat csinálsz, de ez nem az egyetlen eszköz, amelyre támaszkodnod kell."

Még mindig vannak jelentős akadályok bármelyik Cisco támadó számára, mondta Stewart. Például sok támadó vonakodik a routerek hackeléséért, mert ha hibát követnek el, kiüti az egész hálózatot. "Mi a fajta kap egy pass, mert senki sem akar majom az infrastruktúra, amit használ," mondta. "Olyan, mintha az autópályát felcsavarnád, miközben egy másik városba próbálsz menni."

Habár Cisco-nek nincs jelentős biztonsági aggálya, Stewart semmit sem vesz magának.

Valójában ő is elismerte, hogy cégének eddig szerencséje volt, és tudja, hogy ez megváltozhat, ha elég ember szeret Lindner dolgozni a probléma. - Van időnk - mondta. "Megvan a lehetőségünk, hogy jobb legyen, és folyamatosan be kell fektetnünk a támadási felület csökkentésére."