Cisco IOS-Shellcode: All-in-One

    Bild

    Hallo!

    Dieser Beitrag ist eine Antwort auf eine kürzlich erschienene Veröffentlichung der russischen Cisco-Repräsentanz über die Habrahabr-Ressource.

    Der Autor ist derselbe "unreife" und "unerfahrene" Forscher von Digital Security, der in einem Artikel eines Cisco-Vertreters erwähnt wird.

    Seltsamerweise erlaubt sich die Darstellung eines so bekannten Unternehmens, eine so niedrige Silbe im offiziellen Blog zu verwenden, und gibt auch Kommentare ab, die auf oberflächlichen Schlussfolgerungen und nicht auf technischen Details beruhen. Mal sehen, was unser Forschungszentrum gemacht hat und was Cisco-Experten nicht konnten oder wollten.

    Kommentare zum Artikel


    Es muss gleich gesagt werden, dass von einer Verwundbarkeit der Netzwerkgeräte keine Rede ist!

    Das Gerät ist mit "fremder" Firmware geladen - die fehlende Überprüfung der Legitimität des Abbilds. Ist das nicht eine Schwachstelle? Jeder Angreifer wird sich über eine solche Gelegenheit freuen.

    Für eine erfolgreiche Implementierung benötigt ein Angreifer ein Cisco-Router-Administratorkonto (und keinen Switch, wie einige Medien beschrieben) oder physischen Zugriff auf das Gerät.

    Niemand hat die Sicherheitsanfälligkeiten der Remotecodeausführungsklasse behoben, und Sie können dies auch ohne physischen Zugriff tun.

    Es wird Sie überraschen, wenn Sie erfahren, dass jemand, der Login und Passwort des PC-Administrators erhalten hat, das Betriebssystem neu installiert oder Malware installiert hat? Höchstwahrscheinlich nicht. Dies ist eine ziemlich offensichtliche Bedrohung, die häufig in der Praxis umgesetzt wird.

    Sehr schwaches Szenario. Warum wird das NSA-Skript nicht erwähnt? Immerhin können Sie dies tun: Das transportierte Gerät auf der Transporteinheit wird von einem Dritten entfernt. Darüber hinaus ändert ein Dritter die Firmware auf dem System (KNOWING DEFAULT LOGIN AND PASSWORD), um bösartige Funktionen einzubetten. Dann bläst es alle Einstellungen "auf Null", als ob das Gerät niemals eingeschaltet wäre. Infolgedessen erhält der Kunde das Gerät, ohne den Verdacht zu haben, dass seine Firmware nicht original ist, sondern „eingebaut“ ist, und unter bestimmten Umständen wird das „Stück Eisen“ nicht mehr seine Ausrüstung sein und unter die Kontrolle eines „Fremden“ fallen.

    Zur Identifizierung von SYNful Knock wurden mehrere relativ einfache Mechanismen und Empfehlungen vorgeschlagen.

    Die Mechanismen und Empfehlungen sind exzellent, funktionieren jedoch erst, nachdem das Gerät eine bestimmte Zeit lang unter der Kontrolle des Angreifers stand und er nach eigenem Ermessen in einem anderen Unternehmen darüber verfügen kann. Das heißt, dies ist nur zur Identifizierung. Das ist alles POST-FAX.

    Bis heute können Sie ein geändertes Image hochladen, und es besteht kein Zweifel, dass eine neue Malware veröffentlicht wird. Und der Hersteller wird nur einen neuen Scanner und neue Signaturen veröffentlichen.

    Geschichten darüber, wie man ein möglicherweise modifiziertes Bild mit dem Befehl verify auf Änderungen überprüft, erscheinen lächerlich. Bitte beachten Sie: In einem geänderten Bild können Sie den Code korrigieren, der für die Überprüfung Ihrer Prüfsumme verantwortlich ist.

    Nach aktuellem Kenntnisstand hat SYNful Knock keinen ernsthaften Schaden angerichtet und sein Verbreitungsgebiet (Anzahl der betroffenen Netzwerkgeräte) war begrenzt und belief sich laut Shadowserver am 20. September 2015 auf 163 Geräte (von zehn Millionen verkauften Geräten dieser Generation).

    Ein interessantes Spiel mit Zahlen. Das Gerät ist anders. Es ist eine Sache, wenn sich ein Gerät dieser Klasse in einem kleinen Unternehmen befindet, und eine andere, wenn es von einem großen Telekommunikationsanbieter verwendet wird. Das heißt, in Bezug auf Wirkung und Gewinn sind dies, wie Sie verstehen, völlig unterschiedliche Geschichten.

    Darüber hinaus ist zu berücksichtigen, dass die veröffentlichten Informationen von ShadowServer nur die Geräte beschreiben, mit denen von außen eine Verbindung hergestellt werden konnte, um zu erkennen, dass sie infiziert sind. Infolgedessen blieb die Masse der Geräte, die von den Angreifern kontrolliert werden und Zugriff auf das interne Netzwerk haben, z. B. über ein anderes Gerät oder einen PC, die / der mit „Standard“ -Analware infiziert ist, unerreicht.

    Nicht umsonst hat Cisco einen Mechanismus zum digitalen Signieren von ROMMON-Updates und IOS-Images implementiert. Auf Plattformen der vorherigen Generation muss die Überprüfung jedoch manuell aktiviert werden

    Unsere Erfahrung mit der Erforschung von Cisco-Geräten zeigt, dass nicht alle Geräte aktualisiert werden können, z. B. ROMMON. Es ist einfach nicht auf der Website des Herstellers verfügbar. Für einige Hardwareprodukte wurde ROMMON gerade erst hochgeladen - möglicherweise ist dies genau auf das Anwachsen von Infektionsereignissen zurückzuführen. Damit Kunden ROMMON aktualisieren können, wurde es zum Download bereitgestellt.

    Wenn ein Forscher oder ein Unternehmen kategorisch angibt, iOS gehackt zu haben, ist dies entweder ein Zeichen von Unprofessionalität und mangelndem Verständnis dafür, dass wir viele verschiedene Modifikationen unseres grundlegenden Betriebssystems haben, oder ein banaler Wunsch, etwas zu verschönern und öffentlich zu machen die Nachrichten.

    Der Autor des Artikels war von den Schlagzeilen erschrocken und wartete nicht auf die Veröffentlichung von technischen Folien und Videos von der Aufführung mit ZeroNights 2015 „Cisco IOS-Shellcode: All-in-One“. Dies ist auch in der Präsentation angegeben:

    Bild

    Wie Sie sehen, widerspricht die Folie nicht den obigen Ausführungen. Darüber hinaus war das Leitmotiv des zweiten Teils der Studie genau das Gespräch darüber, wie der Forscher mit der vorhandenen Vielfalt an Hardwareplattformen, Prozessorarchitekturen und Cisco-Betriebssystemen umgehen soll. In der Studie wurde festgestellt, dass Cisco IOS-Binärabbilder sich zwar erheblich unterscheiden können, die Architekturmerkmale jedoch von Bild zu Bild immer gleich bleiben - eine Art „Invariante“. Im vorliegenden Fall wurde das Subsystem "Tcl" zu einer solchen "Invariante", die unabhängig von der Betriebssystemversion und der Hardwarearchitektur gleichermaßen konzipiert ist und funktioniert.

    Obwohl das direkte Forschungsthema Cisco IOS (PowerPC) war, kann der vorgeschlagene Ansatz zur Implementierung von Shell-Code, der zwischen Images portierbar ist, auf eine andere Prozessorarchitektur oder auf eine andere Cisco IOS XE-Betriebssystemfamilie ausgeweitet werden.

    Aber seien wir ehrlich. Die Schwachstelle selbst im Tcl-Interpreter ist seit langem bekannt und verfügt sogar über eine eigene CVE-Kennung. Das heißt, eine Aussage über die festgestellte Sicherheitslücke ist eine offensichtliche Lüge, die nur für die eigene PR gemacht wurde.

    Seien wir ehrlich und sagen wir, dass dem Autor der Inhalt des Berichts nicht bekannt ist, da er nicht anwesend war. In der Studie waren Schwachstellen in Cisco-Geräten im Allgemeinen nicht betroffen, sondern wurden nur am Rande erwähnt!

    Die Studie konzentriert sich auf Tcl-basierten portablen Shell-Code für Cisco-Geräte, der in Verbindung mit jeder binären Sicherheitsanfälligkeit verwendet werden kann, die die Ausführung von beliebigem Code ermöglicht, und die erwähnte Sicherheitsanfälligkeit im Tcl-Interpreter hat nur eine indirekte Beziehung dazu (möglicherweise nur das Wort „ Tcl ”im Titel). Wir haben keinen Zweifel, dass der Unterschied zwischen den Begriffen "Verwundbarkeit" und "Shell-Code" für einen Spezialisten offensichtlich ist.

    Wenn Sie auf das Problem der Eskalation von Berechtigungen eingehen, sollte beachtet werden, dass der Shell-Code direkten Zugriff auf den physischen Speicher hat und sowohl den Cisco IOS-Code selbst als auch verschiedene Kontrollstrukturen ändern kann, einschließlich der Erhöhung von Berechtigungen.

    Mit anderen Worten, aus der Sicht eines Sicherheitsspezialisten, der in einem Unternehmen arbeitet und an Informationen über die Sicherheit seiner Netzwerkgeräte interessiert ist, lohnt es sich, nicht nur die Pressemitteilungen von Forschern zu studieren, sondern auch die Informationen über die Beseitigung der Lücke und die Einschränkungen für deren Verwendung, die der Hersteller bereitstellt .

    Das ist alles. Wir haben jedoch nicht über Schwachstellen gesprochen. Jeder weiß, dass es Schwachstellen gibt und geben wird, und es war für uns nicht sehr interessant, auf der internationalen ZeroNights-Konferenz einen Bericht über eine Reihe allgemeiner Schwachstellen zu erstellen. Wir sprachen darüber, was getan werden kann, nachdem eine Sicherheitsanfälligkeit in Cisco-Geräten ausgenutzt wurde.

    Wenn Sie darauf zugreifen, werden ständig aktualisierte Informationen zu verschiedenen Sicherheitslücken in verschiedenen Produkten unterschiedlicher Versionen angezeigt.

    Das Schlüsselwort ist "ständig";)

    Als sich Cisco PSIRT-Experten aus eigener Initiative mit Digital Security in Verbindung setzten, um einen kürzlich veröffentlichten Bericht zu ZeroNights über angeblich entdeckte Sicherheitslücken in Cisco-Geräten zu erhalten, konnten Vertreter von Digital Security nicht reagieren und Details zu ihren Nachforschungen angeben.

    Ja, sie haben uns kontaktiert, nachdem die Nachricht veröffentlicht wurde und die Antwort erhalten hat, dass keine Schwachstellen in Cisco-Geräten berücksichtigt wurden und dass Folien in Kürze für alle verfügbar sein werden.

    Hier ist eine Präsentation der Studie (Video wird später verfügbar sein):



    Informationen zum Infizieren von Cisco-Geräten


    Wir haben dieses Thema in unserer Studie überhaupt nicht angesprochen - dies ist ein separates Thema. Das einzige, was ich erwähnen möchte: Wenn es um Sicherheitslücken geht, konzentriert sich der Hersteller auf eine große Menge an Geräten, Betriebssystemen und Architekturen, aber wenn es um den Schutz gegen das Ändern des Firmware-Images geht, wird dies sofort vergessen, wobei Trust Anchor, Secure Boot-Technologien erwähnt werden, die weit davon entfernt sind überall.

    Wie Sie feststellen, ob Sie Trust Anchor haben, ist Secure Boot eine separate Aufgabe. Einige Whitepapers von Cisco sagen etwas aus, während andere Quellen (der Cisco Feature Navigator-Dienst ) etwas anderes deklarieren. Wem soll man glauben?

    Unsere Erfahrung bei der Untersuchung von Cisco-Geräten, die heute von Unternehmen verwendet werden (anstatt in Regalen in Geschäften zu stehen), zeigt, dass in den meisten Fällen eine Prüfsumme verwendet wird, um die Legitimität des Images zu überprüfen. Natürlich ist es sehr einfach, die Prüfsumme eines geänderten Bildes zu fälschen (nachzurechnen). Auf einer Reihe von Geräten, auf denen das Image digital signiert ist, befinden sich digitale Zertifikate an derselben Stelle, und es ist für einen Angreifer nicht schwierig, sein Zertifikat dort hinzuzufügen.

    Ein aufmerksamer / erfahrener Leser könnte auch an TPM (Trusted Platform Module) denken. Cisco transportiert es jedoch aufgrund der Kryptografie nicht in eine Reihe von Ländern, einschließlich Russland. Und wir haben ehrlich versucht herauszufinden, welche Geräte TPM unterstützen. Es stellte sich heraus, dass seine Menge vernachlässigbar ist.

    Natürlich werden Cisco-Geräte weiterentwickelt und neue Sicherheitsmechanismen eingeführt. Die Aktualisierungen betreffen jedoch nur die neuesten Modelle, und die Situation mit dem Großteil des "Eisens", das in Unternehmen aktiv verwendet wird, bleibt dieselbe. Es stellt sich heraus wie beim Android-Betriebssystem: In der neuesten Version ist alles in Ordnung, aber der Rest muss aktualisiert werden. Das Problem ist, dass die Aktualisierung der gesamten Netzwerkausstattung nicht so einfach (und nicht billig) ist. Dies ist kein Betriebssystem auf dem Telefon. Und wir sehen ein solches Problem eindeutig bei unseren Kunden.

    Fazit


    Natürlich freuen wir uns als Forscher nur darüber, dass unsere Arbeit eine aktive Reaktion von Cisco und die Veröffentlichung von Sicherheitsartikeln hervorruft. Ich hoffe jedoch, dass sich die Spezialisten des Anbieters nicht auf emotionale Bewertungen beschränken, sondern ihre Energie auf die Verbesserung der Sicherheit ihrer eigenen Produkte richten.

    Jetzt auch beliebt: