Эксперты Digital Security исследовали «дыру» в межсетевых экранах Cisco

Безопасность Стратегия безопасности Интеграция Инфраструктура
мобильная версия
, Текст: Татьяна Короткова

Эксперты исследовательского центра компании Digital Security, специализирующейся на анализе защищенности ИТ-систем — Роман Бажин и Максим Малютин — произвели технический анализ импланта Jetplow для межсетевых экранов Cisco. В ходе исследования выяснилось, что данное ПО может «встроиться» в оборудование Cisco и скрыто там существовать, выполняя команды оператора, контролирующего его, сообщили CNews в Digital Security.

Закладка предоставляет своему оператору практически неограниченные возможности на зараженном устройстве, включая фильтрацию и манипулирование транзитным трафиком, использование зараженного оборудования для дальнейшей атаки на сетевую инфраструктуру организации, кражу конфиденциальной информации и т.д. Причем оператор может иметь доступ даже к информации, передаваемой по защищенным каналам связи, указали в компании.

Jetplow имеет возможность устанавливаться как удаленно через уязвимость или аутентификационные данные администратора устройства, так и локально при наличии физического доступа (например, при транспортировке). Имплант может встраиваться в Cisco PIX 500-й серии и Cisco ASA серии 5505, 5510, 5520, 5540, 5550.

При анализе архива было замечено, что название Jetplow используется для обозначения ранних версий импланта (в основном, для PIX), а новым версиям дано название Screamingplow.

По мнению экспертов Digital Security, команда разработки Jetplow/Screamingplow была многочисленна, проделала огромную работу и имела как в наличии, так и удаленно большое количество аппаратуры Cisco для разработки и тестирования.

Без аппаратной защиты (TPM) подобные Jetplow могут появляться и в дальнейшем, поскольку программными средствами от этого не защититься, считают в компании.

Согласно данным, обнародованным Эдвардом Сноуденом, имплант Jetplow входит в состав архива кибероружия Агентства национальной безопасности (АНБ). Информация о нем также содержится на страницах архива, выставленного на продажу командой The Shadow Brokers.

Jetplow из опубликованного архива ориентирован только на оборудование Cisco, датированное 2013 г. и ранее. Но эксперты Digital Security провели дополнительное собственное исследование и смогли реализовать аналогичную концепцию для современного оборудования Cisco. Производитель уведомлен об уязвимостях и работает над их закрытием.