Выявлен — не значит обезврежен

Сложно ли эксплуатировать «теоретическую» уязвимость

Новости об уязвимостях появляются чуть ли не каждый день. Их долго и шумно обсуждают в интернете, разработчики выпускают заплатки, а потом все успокаиваются. И может сложиться впечатление, что все в порядке, проблема решена. Но на самом деле это не так: далеко не все администраторы устанавливают обновления, ну и тем более не все делают это вовремя, то есть максимально быстро. Особенно когда речь идет о программном обеспечении, работающем на сетевом оборудовании: для его обновления зачастую приходится прилагать много усилий.

Мотивация у системных администраторов, которые не ставят обновления, может быть разная. Некоторые не верят в то, что могут стать целью злоумышленников. Другие просто считают, что пока уязвимость теоретическая, волноваться не стоит.

В прошлом году в оборудовании Cisco было найдено несколько уязвимостей. Одна из них — возможность исполнения произвольного кода при эксплуатации ошибок в реализации протокола SNMP в операционных системах Cisco IOS и IOS XE (по номенклатуре Cisco — cisco-sa-20170629-snmp). Эксплуатируя эту уязвимость, злоумышленник потенциально может получить полный контроль над системой. Известно об этой проблеме с июля 2017 года, патч давно доступен (Cisco вообще оперативно закрывают уязвимости в своих продуктах), однако до сих пор она считается теоретической: попыток эксплуатации не выявлено.

Наш эксперт Артем Кондратенко проводил тест на проникновение и обнаружил маршрутизатор Cisco c дефолтной общей строкой SNMP (общая строка, или community string, — это что-то вроде пароля, позволяющего получить статистику от устройства по протоколу SNMP). Он решил проверить на практике, насколько эта уязвимость может быть опасной, и поставил себе цель получить через этот маршрутизатор доступ во внутреннюю сеть. К слову — случай не уникальный: согласно данным поисковика Shodan, в сети находится 3313 устройств этой модели с все той же дефолтной общей строкой.

Технические подробности мы опустим. Те, кто хочет ознакомиться с ними, могут посмотреть выступление Артема на Chaos Communications Congress. Важен финал. Он продемонстрировал, что при помощи этой уязвимости можно получить доступ к устройству с уровнем привилегий 15 (высшим в оболочке Cisco IOS). Да, случаев эксплуатации этой уязвимости злоумышленниками пока не выявлено, но это не значит, что о ней можно забыть.

В общей сложности, с момента обнаружения уязвимого устройства на то, чтобы доказать возможность эксплуатации, у Артема ушло четыре недели.

Чтобы быть уверенным, что ваше сетевое оборудование не станет первой жертвой, необходимо:

  1. Удостовериться что ваши маршрутизаторы обновлены.
  2. Следить за тем, чтобы в устройствах, имеющих выход во внешние сети, не использовалась дефолтная общая строка (а лучше вообще не использовать ее).
  3. Следить за датой конца срока службы вашего сетевого оборудования — после этого оно перестанет обслуживаться производителями и вряд ли получит обновления, закрывающие уязвимости, которые будут обнаружены после этой даты.
Советы