Декілька типів мережевих пристроїв виробництва Cisco виявилися вразливими до п’яти нових багів, які могли б дозволити хакерам взяти повний контроль над пристроями, а згодом і над корпоративними мережами, у яких вони використовуються.
Чотири з п’яти помилок високого ступеня тяжкості – це проблеми з віддаленим виконанням коду, що зачіпають маршрутизатори, комутатори та IP-камери Cisco. П’ята вразливість – це проблема відмови в обслуговуванні, що стосується IP-телефонів Cisco, пише TheHackerNews.
Відомі під загальною назвою “CDPwn”, ці вразливості є різними реалізаціями протоколу відкриття Cisco (CDP), який за умовчанням увімкнено практично на всіх пристроях Cisco і його неможливо вимкнути. Cisco Discovery Protocol (CDP) – це адміністративний протокол, який працює на рівні 2 рівня стеку Інтернет-протоколу (IP). Протокол був розроблений для того, щоб пристрої могли дізнаватися про інше локальне обладнання Cisco в тій самій мережі.
Згідно з повідомленням, дослідницька команда Armis відкрила, що основні реалізації CDP містять переповнення буфера та вразливості рядкових форматів, які можуть давати можливість віддаленим зловмисникам в одній мережі виконувати довільний код на вразливих пристроях, надсилаючи зловмисні несанкціоновані пакети CDP.
Список уразливостей CDPwn Cisco, що впливають на десятки мільйонів пристроїв, широко розгорнутих у мережах підприємств, такий:
- Переповнення стека Cisco NX-OS у запиті на потужність TLV (CVE-2020-3119);
- Уразливість рядка формату Cisco IOS XR у кількох TLV (CVE-2020-3118);
- IP-телефони Cisco переповнюють стек у PortID TLV (CVE-2020-3111);
- IP-камери Cisco переповнюють стек в DeviceID TLV (CVE-2020-3110);
- Вичерпання ресурсів Cisco FXOS, IOS XR та NX-OS в адресах TLV (CVE-2020-3120).
Оскільки CDP – це протокол 2 рівня передачі даних, який не може перетинати межі локальної мережі, зловмиснику спочатку потрібно бути в тій самій мережі, щоб використовувати вразливості CDPwn. Однак отримавши початкову позицію в цільовій мережі, використовуючи окремі вразливості, зловмисники можуть використовувати CDPwn проти мережевих комутаторів, щоб порушити сегментацію мережі та перейти через проникнення у корпоративні мережі до інших чутливих систем та даних.
“Отримати контроль над комутатором можна й іншими способами. Наприклад, комутатор перебуває у вищому положенні, щоб підслухати мережевий трафік, який проходить через комутатор, і його можна використовувати навіть для запуску атаки” man-in-the-middle” через трафік пристроїв, які підключені через комутатор “, – зазначили дослідники. – Зловмисник може переходити за сегментами і отримувати доступ до цінних пристроїв, таких як IP-телефони або камери. На відміну від комутаторів, ці пристрої зберігають конфіденційні дані безпосередньо, і причиною їх втягнення у цей процес може бути метою зловмисника, а не просто способом вийти з сегментації “.
Крім того, недоліки CDPwn також дозволяють зловмисникам:
- Підслуховувати голосові та відеодані/дзвінки та відеосигнал із IP-телефонів та камер, фіксувати розмови чи зображення.
- Виявляти чутливі корпоративні дані, що проходять через комутатори та маршрутизатори корпоративної мережі.
- Компрометувати та захоплювати контроль над підключеними пристроями, використовуючи атаки типу “man-in-the-middle” для перехоплення та зміни трафіку на корпоративному комутаторі.
Окрім випуску детального технічного звіту з цих питань, дослідницька група Armis також поділилась відеороликами пояснень та демонстрацій цих вразливостей. Після тісної співпраці з дослідниками Armis протягом останніх кількох місяців з розробки патчів безпеки, Cisco випустила оновлення програмного забезпечення для всіх своїх постраждалих продуктів.
Хоча Cisco також надала деяку інформацію щодо пом’якшення наслідків, постраждалим адміністраторам все ж рекомендується самостійно встановлювати останні оновлення програмного забезпечення для повного захисту їх цінних мереж від зловмисного програмного забезпечення та нових загроз в Інтернеті.
Зверніть увагу, з 1 лютого WhatsApp не буде працювати на мільйонах iPhone та Android-пристроях, які використовують застарілі версії операційних систем. Застарілими вважаються iOS 8 і Android 2.3.7 Gingerbread та всі, що були до них.
Також нову активність вже відомої групи кіберзлочинців Winnti зафіксували фахівці з кібербезпеки. Цього разу ціллю зловмисників стали університети Гонконгу. Можливою ціллю зловмисників було викрадення конфіденційних даних з пристроїв жертв.
Окрім цього, компанія Twitter розкрила подробиці про кібератаки, в ході яких сторонні особи використовували офіційний API компанії для зіставлення телефонних номерів з іменами користувачів соціальної мережі.
Нагадаємо, дослідники з університету Бен-Гуріон змогли обдурити популярні системи автопілотів, використовуючи сприйняття ними проектованих зображень як справжніх та змусили машини гальмувати або заїжджати на зустрічні смуги на автотрасі.
До речі, якщо Ви не користуєтесь необмеженим стільниковим або широкосмуговим зв’язком, використовуєте повільне з’єднання або просто хочете обмежити кількість даних, які споживає Ваш пристрій, у iOS є прихована функція, яка допоможе Вам зробити це.