На ZeroNights расскажут о возможностях внедрения вредоносного кода в сетевое оборудование Cisco

16.11.2016

Роман Бажин и Максим Малютин, исследователи компании Digital Security, специализирующейся на анализе защищенности систем, представят на конференции ZeroNights доклад под названием: «JETPLOW мертв, да здравствует JETPLOW!», в котором рассмотрят варианты реализации буткитов − вредоносных программ уровня загрузчика платформы, позволяющих контролировать и влиять на весь процесс работы программного обеспечения сетевого оборудования компании Cisco.

Результаты исследования показали, что ситуация с безопасностью данного оборудования выглядит печально. Тесты, проведенные специалистами, продемонстрировали, что существует возможность внедрения произвольного вредоносного кода в самые ранние этапы загрузки платформы. В рамках доклада будут представлены варианты реализации от внедрения до запуска полезной нагрузки для ASA 5525-X и Catalyst 3850.

Внедряемая буткитом полезная нагрузка позволяет получить полный удаленный контроль над системой и всем транзитном трафиком. Вендор уведомлен об этой угрозе, но не против использования данной возможности − внедрения произвольного вредоносного кода, не принимая во внимание используемый NSA-сценарий (использование инженерного (вредоносного) загрузочного образа для установки импланта).

Адресованные конечному потребителю рекомендации, которые были дополнены вендором после сообщения ему возможных вариантов получения контроля над оборудованием и предоставления PoC, потенциально используемых в сценарии NSA, являются превентивными мерами. А в случае заражения платформы буткитом, методы, направленные на верификацию загрузочных образов сетевого оборудования, и вовсе не имеют смысла, так как предлагаемые действия производятся на прикладном уровне. Ввиду использования схожей архитектуры, потенциально под угрозой находятся линейки межсетевых экранов ASA 5505, ASA 5510, ASA 5512-X, ASA 5515-X, ASA 5520, ASA 5540, ASA 5545-X, ASA 5550, ASA 5555-X, ASA 5580, ASA 5585-X.