Tylna furtka do routerów Cisco

Swobodne rozmowy na nie-sieciowe tematy
Wiadomość
Autor
bart
wannabe
wannabe
Posty: 464
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

Tylna furtka do routerów Cisco

#1

#1 Post autor: bart »

Wygląda to całkiem profesjonalnie, więc jutro albo jeszcze dzisiaj trzeb posprawdzać swoje routery:

"By uruchomić niektóre funkcje tylnej furtki zdalnie wystarczy nawiązać z zainfekowanym ruterem odpowiednią komunikację. Nie mają tu znaczenia skonfigurowane reguły filtrowania ruchu – tylna furtka i tak słucha wszystkich pakietów. Magiczna sekwencja wygląda następująco:

TCP SYN na port 80 w którym różnica między numerem sekwencyjnym i numerem potwierdzenia wynosi dokładnie 0xC123D,
w odpowiedzi nadchodzi TCP SYN-ACK w którym różnica między numerem sekwencyjnym i numerem potwierdzenia wynosi dokładnie 0xC123E, opcje TCP to „02 04 05 b4 01 01 04 02 01 03 03 05″, wskaźnik priorytetu ma wartość 0x0001 ale flaga priorytetu nie została ustawiona a numer potwierdzenia jest skopiowany z pakietu SYN,
TCP ACK ,
kolejny pakiet od właściciela tylnej furtki ma już postać pakietu TCP z ustawionymi flagami PUSH i ACK, w odległości 0x62 od początku nagłówka pakietu znajduje się ciąg „text” a po nim sekwencja poleceń do wykonania plus suma kontrolna (polecenia szyfrowane są stałym kluczem XOR).
Dostępnych jest 5 podstawowych poleceń: wylistowanie aktywnych modułów, zarezerwowanie pamięci dla nowego modułu, wczytanie modułu, aktywowanie modułu oraz usunięcie modułu z pamięci."



https://zaufanatrzeciastrona.pl/post/po ... amowaniem/

Awatar użytkownika
Misiekm
wannabe
wannabe
Posty: 518
Rejestracja: 29 lis 2005, 17:31
Lokalizacja: Londyn

#2

#2 Post autor: Misiekm »

Pamietam że Cisco odcieło sie od współpracy z NSA po publikacjach Snowdena - 2013. We fragmencie kodu widac php 5.3.5 release 01.2011.
Niektorzy klienci życza sobie dostawe sprzetu bezposrednio od producenta, to (prawnie) gwarantuje im przerzystosc sytuacji gdyby nie można było ustalić na jakim etapie oprogramowanie sie 'zmieniło'

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

#3

#3 Post autor: lbromirs »

Misiekm pisze:Pamietam że Cisco odcieło sie od współpracy z NSA po publikacjach Snowdena - 2013. We fragmencie kodu widac php 5.3.5 release 01.2011.
Niektorzy klienci życza sobie dostawe sprzetu bezposrednio od producenta, to (prawnie) gwarantuje im przerzystosc sytuacji gdyby nie można było ustalić na jakim etapie oprogramowanie sie 'zmieniło'
W żadnym fragmencie kodu IOSa nie ma PHP. IOS jako binarka jest ewidentnie "przysposobiany" w tym ataku jakimiś abstrakcyjnymi tworami typu "Ubuntu" i "PHP".

Zresztą, wszystko jest doskonale udokumentowane ze zdobycznych sztuk - zarówno przez FireEye jak i nasz PSIRT. A to jaki konkretnie IOS został ściągnięty z CCO można sprawdzić bardzo szybko - nie pochodzą one z Cisco.

Swoją drogą, jak przez parę lat wydawaliśmy kupę kasy, żeby wyposażyć nasze platformy w secure boot, wszyscy krzyczeli, że to tylko po to, żeby zaprzestać kopiowania rozwiązań.

A jak widać, jednak było warto. Do czasu gdy ktoś od nas nie opublikuje prywatnych kluczy, tak jak ostatnio zrobił to D-Link, platformy wspierające Secure Boot są przed takimi sztuczkami chronione. Zresztą, z tego co widać, nawet tym atakującym udało się zainfekować zaledwie parę konkretnych IOSów - a dlaczego - mówił kiedyś phoelit.

bart
wannabe
wannabe
Posty: 464
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

#4

#4 Post autor: bart »

Ten kod PHP to prawdopodobnie fałszywe odpowiedzi 'tylnej furtki'.

Awatar użytkownika
mstan
wannabe
wannabe
Posty: 94
Rejestracja: 18 lip 2013, 18:21

#5

#5 Post autor: mstan »

W odpowiedzi na opisywany problem Cisco dzis udostepnilo narzedzie, ktorym klienci moga przeskanowac swoja siec w celu sprawdzenia, czy na ktoryms urzadzeniu jest uruchomiony zmodyfikowany/zainfekowany IOS (wg aktualnego poziomu wiedzy o podejrzanych sygnaturach).

Wiecej szczegolow oraz link do skanera pod adresem:

https://blogs.cisco.com/security/talos/synful-scanner

Co warto podkreslic, nie mowimy tu o zadnym nowym "vulnerability" w kodzie IOSa.
Zeby wykonac ten "atak" konieczna jest znajomosc hasla do logowania ("administrative credentials") lub fizyczny dostep po konsoli do urzadzenia, aby zainstalowac zmodyfikowany obraz IOSa.

Trudno w to uwierzyc, ale niestety wciaz zdarzaja sie klienci ktorzy na routerach produkcyjnych uzywaja user/password: cisco/cisco.

bart
wannabe
wannabe
Posty: 464
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

#6

#6 Post autor: bart »

Nowy skan pokazuje że w Polsce jest już 9 routerów - teoretycznie/prawdopodobnie z cisco/cisco ;)

http://blog.shadowserver.org/2015/09/21/synful-knock/

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

#7

#7 Post autor: lbromirs »

bart pisze:Nowy skan pokazuje że w Polsce jest już 9 routerów - teoretycznie/prawdopodobnie z cisco/cisco ;)

http://blog.shadowserver.org/2015/09/21/synful-knock/
Zdejmujemy sukcesywnie te routery z klientami i je 'czyścimy'.

Smutne jest to, że większość (nie wszystkie) to właśnie sprzęt 'szary' - kupiony od brokera, nawet czasem do poważnej sieci - i nikt nie sprawdził, z jakim ROMMONem tudzież jakim IOSem przyjechał.

Warto jednak zwracać uwagę, skąd kupuje się sprzęt żeby uniknąć takich wtop. A operacyjnie - pilnować np. TACACSem co, kto i kiedy robi na Waszym sprzęcie.

bart
wannabe
wannabe
Posty: 464
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

#8

#8 Post autor: bart »

Fajne jest to że Wasza firma Łukasz tak podchodzi o sprawy i nie zostawia tego samemu sobie. Tutaj na pewno macie dużego pelusa ;)

ODPOWIEDZ