Tylna furtka do routerów Cisco
Tylna furtka do routerów Cisco
Wygląda to całkiem profesjonalnie, więc jutro albo jeszcze dzisiaj trzeb posprawdzać swoje routery:
"By uruchomić niektóre funkcje tylnej furtki zdalnie wystarczy nawiązać z zainfekowanym ruterem odpowiednią komunikację. Nie mają tu znaczenia skonfigurowane reguły filtrowania ruchu – tylna furtka i tak słucha wszystkich pakietów. Magiczna sekwencja wygląda następująco:
TCP SYN na port 80 w którym różnica między numerem sekwencyjnym i numerem potwierdzenia wynosi dokładnie 0xC123D,
w odpowiedzi nadchodzi TCP SYN-ACK w którym różnica między numerem sekwencyjnym i numerem potwierdzenia wynosi dokładnie 0xC123E, opcje TCP to „02 04 05 b4 01 01 04 02 01 03 03 05″, wskaźnik priorytetu ma wartość 0x0001 ale flaga priorytetu nie została ustawiona a numer potwierdzenia jest skopiowany z pakietu SYN,
TCP ACK ,
kolejny pakiet od właściciela tylnej furtki ma już postać pakietu TCP z ustawionymi flagami PUSH i ACK, w odległości 0x62 od początku nagłówka pakietu znajduje się ciąg „text” a po nim sekwencja poleceń do wykonania plus suma kontrolna (polecenia szyfrowane są stałym kluczem XOR).
Dostępnych jest 5 podstawowych poleceń: wylistowanie aktywnych modułów, zarezerwowanie pamięci dla nowego modułu, wczytanie modułu, aktywowanie modułu oraz usunięcie modułu z pamięci."
https://zaufanatrzeciastrona.pl/post/po ... amowaniem/
"By uruchomić niektóre funkcje tylnej furtki zdalnie wystarczy nawiązać z zainfekowanym ruterem odpowiednią komunikację. Nie mają tu znaczenia skonfigurowane reguły filtrowania ruchu – tylna furtka i tak słucha wszystkich pakietów. Magiczna sekwencja wygląda następująco:
TCP SYN na port 80 w którym różnica między numerem sekwencyjnym i numerem potwierdzenia wynosi dokładnie 0xC123D,
w odpowiedzi nadchodzi TCP SYN-ACK w którym różnica między numerem sekwencyjnym i numerem potwierdzenia wynosi dokładnie 0xC123E, opcje TCP to „02 04 05 b4 01 01 04 02 01 03 03 05″, wskaźnik priorytetu ma wartość 0x0001 ale flaga priorytetu nie została ustawiona a numer potwierdzenia jest skopiowany z pakietu SYN,
TCP ACK ,
kolejny pakiet od właściciela tylnej furtki ma już postać pakietu TCP z ustawionymi flagami PUSH i ACK, w odległości 0x62 od początku nagłówka pakietu znajduje się ciąg „text” a po nim sekwencja poleceń do wykonania plus suma kontrolna (polecenia szyfrowane są stałym kluczem XOR).
Dostępnych jest 5 podstawowych poleceń: wylistowanie aktywnych modułów, zarezerwowanie pamięci dla nowego modułu, wczytanie modułu, aktywowanie modułu oraz usunięcie modułu z pamięci."
https://zaufanatrzeciastrona.pl/post/po ... amowaniem/
Pamietam że Cisco odcieło sie od współpracy z NSA po publikacjach Snowdena - 2013. We fragmencie kodu widac php 5.3.5 release 01.2011.
Niektorzy klienci życza sobie dostawe sprzetu bezposrednio od producenta, to (prawnie) gwarantuje im przerzystosc sytuacji gdyby nie można było ustalić na jakim etapie oprogramowanie sie 'zmieniło'
Niektorzy klienci życza sobie dostawe sprzetu bezposrednio od producenta, to (prawnie) gwarantuje im przerzystosc sytuacji gdyby nie można było ustalić na jakim etapie oprogramowanie sie 'zmieniło'
W żadnym fragmencie kodu IOSa nie ma PHP. IOS jako binarka jest ewidentnie "przysposobiany" w tym ataku jakimiś abstrakcyjnymi tworami typu "Ubuntu" i "PHP".Misiekm pisze:Pamietam że Cisco odcieło sie od współpracy z NSA po publikacjach Snowdena - 2013. We fragmencie kodu widac php 5.3.5 release 01.2011.
Niektorzy klienci życza sobie dostawe sprzetu bezposrednio od producenta, to (prawnie) gwarantuje im przerzystosc sytuacji gdyby nie można było ustalić na jakim etapie oprogramowanie sie 'zmieniło'
Zresztą, wszystko jest doskonale udokumentowane ze zdobycznych sztuk - zarówno przez FireEye jak i nasz PSIRT. A to jaki konkretnie IOS został ściągnięty z CCO można sprawdzić bardzo szybko - nie pochodzą one z Cisco.
Swoją drogą, jak przez parę lat wydawaliśmy kupę kasy, żeby wyposażyć nasze platformy w secure boot, wszyscy krzyczeli, że to tylko po to, żeby zaprzestać kopiowania rozwiązań.
A jak widać, jednak było warto. Do czasu gdy ktoś od nas nie opublikuje prywatnych kluczy, tak jak ostatnio zrobił to D-Link, platformy wspierające Secure Boot są przed takimi sztuczkami chronione. Zresztą, z tego co widać, nawet tym atakującym udało się zainfekować zaledwie parę konkretnych IOSów - a dlaczego - mówił kiedyś phoelit.
W odpowiedzi na opisywany problem Cisco dzis udostepnilo narzedzie, ktorym klienci moga przeskanowac swoja siec w celu sprawdzenia, czy na ktoryms urzadzeniu jest uruchomiony zmodyfikowany/zainfekowany IOS (wg aktualnego poziomu wiedzy o podejrzanych sygnaturach).
Wiecej szczegolow oraz link do skanera pod adresem:
https://blogs.cisco.com/security/talos/synful-scanner
Co warto podkreslic, nie mowimy tu o zadnym nowym "vulnerability" w kodzie IOSa.
Zeby wykonac ten "atak" konieczna jest znajomosc hasla do logowania ("administrative credentials") lub fizyczny dostep po konsoli do urzadzenia, aby zainstalowac zmodyfikowany obraz IOSa.
Trudno w to uwierzyc, ale niestety wciaz zdarzaja sie klienci ktorzy na routerach produkcyjnych uzywaja user/password: cisco/cisco.
Wiecej szczegolow oraz link do skanera pod adresem:
https://blogs.cisco.com/security/talos/synful-scanner
Co warto podkreslic, nie mowimy tu o zadnym nowym "vulnerability" w kodzie IOSa.
Zeby wykonac ten "atak" konieczna jest znajomosc hasla do logowania ("administrative credentials") lub fizyczny dostep po konsoli do urzadzenia, aby zainstalowac zmodyfikowany obraz IOSa.
Trudno w to uwierzyc, ale niestety wciaz zdarzaja sie klienci ktorzy na routerach produkcyjnych uzywaja user/password: cisco/cisco.
Nowy skan pokazuje że w Polsce jest już 9 routerów - teoretycznie/prawdopodobnie z cisco/cisco
http://blog.shadowserver.org/2015/09/21/synful-knock/
http://blog.shadowserver.org/2015/09/21/synful-knock/
Zdejmujemy sukcesywnie te routery z klientami i je 'czyścimy'.bart pisze:Nowy skan pokazuje że w Polsce jest już 9 routerów - teoretycznie/prawdopodobnie z cisco/cisco
http://blog.shadowserver.org/2015/09/21/synful-knock/
Smutne jest to, że większość (nie wszystkie) to właśnie sprzęt 'szary' - kupiony od brokera, nawet czasem do poważnej sieci - i nikt nie sprawdził, z jakim ROMMONem tudzież jakim IOSem przyjechał.
Warto jednak zwracać uwagę, skąd kupuje się sprzęt żeby uniknąć takich wtop. A operacyjnie - pilnować np. TACACSem co, kto i kiedy robi na Waszym sprzęcie.