В России работают десятки тысяч устройств Cisco с «уязвимостью АНБ»

Безопасность Администратору Стратегия безопасности Техника
мобильная версия
, Текст: Сергей Попсулин

В России находятся 43,7 тыс. действующих коммутаторов Cisco, в которых не закрыта уязвимость CVE-2016-6415. Предполагается, что эта брешь используется аффилированной с Агентством национальной безопасности США структурой, специализирующейся на взломе компьютерных систем.


Коммутаторы с уязвимостью в России

В России находятся 43,7 тыс. действующих коммутаторов Cisco с «уязвимостью АНБ» — брешью, которой могла пользоваться связанная с Агентством национальной безопасности США организация под названием Equation Group, сообщает SecurityWeek со ссылкой на исследование организации Shadowserver.

Уязвимость, о которой идет речь, под номером CVE-2016-6415, находится в программном компоненте Internet Key Exchange version 1 (IKEv1), предназначенном для обработки сетевых пакетов и являющемся частью операционных систем Cisco IOS, IOS XE и IOS XR. Она позволяет злоумышленнику дистанционно получить доступ к информации в оперативной памяти.

Как была обнаружена уязвимость

Уязвимость CVE-2016-6415 была найдена компанией Cisco Systems в ходе анализа эксплойта Benigncertain, похищенного группировкой The Shadow Brokers у организации Equation Group. В августе 2016 г. The Shadow Brokers заявила о взломе серверов Equation Group и хищении данных, предназначенных для эксплуатации уязвимостей в различном аппаратном и программном обеспечении. Среди украденных активов был и указанный эксплойт.

Разоблачение Equation Group

Equation Group специализируется на взломе компьютерных сетей и считается подразделением АНБ, которое в 2013 г. обрело скандальную репутацию благодаря публикации материалов, добытых Эдвардом Сноуденом (Edward Snowden). В них говорилось, среди прочего, что АНБ устанавливает «жучки» в коммутаторы Cisco, идущие на экспорт.

В России находится 43,7 тыс. действующих коммутаторов Cisco с «уязвимостью АНБ»

В 2015 г. «Лаборатория Касперского» нашла связь между Equation Group и АНБ, включая использование одних и тех же кодовых имен для различных проектов и одни и те же цели для совершения кибератак, что и у организаторов атак в 2010 г. с помощью Stuxnet (считается, что за этими атаками стоит правительство США).

Опрос коммутаторов

Для того чтобы понять, сколько коммутаторов в мире содержат открытую уязвимость, организация Shadowserver опросила все устройства в интернете с поддержкой протокола IPv4, не защищенные фаерволом, отправив на них специальный пакет ISAKMP объемом 64 байта и проанализировав ответ.

Устройства с 849,5 тыс. IP-адресов оказались уязвимы. Больше всего их находится в США — 256,6 тыс. штук. Россия на втором месте. Далее следуют Великобритания (42,4 тыс.), Канада (41,6 тыс.), Германия (35,4 тыс.), Япония (33,4 тыс), Франция (27,1 тыс.), Мексика (26,9 тыс.), Австралия (24,9 тыс), Китай (23,4 тыс.) и др.  

В Shadowserver отметили, что делать окончательные выводы по результатам этого опроса преждевременно. В то же время, добавили они, нет никаких свидетельств того, что данная уязвимость касается оборудования каких-либо других вендоров, кроме Cisco.