Cisco este unul dintre cele mai folosite echipamente de retea. De la routere la switch-uri sau echipamente firewall.

Este folosit atat in retele ale marilor companii, cat si in cele guvernamentale si mai ales ale furnizorilor de servicii Internet, voce, web.

Cu totii folosim aceste echipamente pentru  performanta excelenta, dar si pentru ca este foarte flexibil in ceea ce priveste securitatea.

Cu toate acestea, cercetatorii au descoperit ceva ce ne da tuturor fiori: milioane de echipamente pot fi atacate prin implantarea de backdoor-uri.

Un backdoor este un program de mici dimensiuni prin care atacatorul poate accesa ilegal resursele unei intregi retele.

Cercetatorii de la Red Ballon au descoperit astfel vulnerabilitata CVE-2019-1649 ce afecteaza produsele ce suporta TAm (Trust Anchor Module).

TAm este un modul hardware instalatat in toate echipamentele CISCO de dupa 2013 ce asigura integritatea secventelor de boot pe echipamentele enterprise.

Astfel, un atacator cu puteri de root poate modifica astfel incat modulul TAm sa fie oprit. In acest fel atacatorul poate modifica secvente importante din secventele de boot.

Atacurile din interior si exterior

Desi initial se considera ca atacurile se pot efectua doar din interiorul retelei, lucrurile par sa stea mult mai rau.

Astfel cei de la Red Baloon au aratat ca un mod foarte simplu de a ataca din afara retelei un router este extrem de simplu folosindu-se vulnerabilitatile CISCO IOS privind operatiunile bazate pe interfata web.

Exista multe cazuri in care o companie lasa administratorii de retea sa porneasca serviciile web de pe echipamentele CISCO din comoditatea si mai ales lipsa de cunostinte CLI (command line interface). Evident ca folosind web-ul este mai simplu. Si apoi unii simplifica atat de mult totul incat lasa interfata web disponibila din exteriorul retelei. Insa WebUI are anumite vulnerabilitati Atacatorul reuseste prin ele sa isi ia drepturi de root. De aici pana la a compromite TAm este un singur pas.

Update pentru vulnerabilitate?

TAm este un modul hardware. Asa cum este de exemplu placa de sunet instalata pe calculatorul tau. Prin urmare se pare ca in perioada urmatoare este imposibil de rezolvat aceasta problema de catre CISCO. Cu tate aceste a CISCO a reusit un patch de securitate pentru WebUI

Administratorii de retea trebuie sa ridice nivelul de securitate al echipamentelor Cisco, urmarind ca nimeni din afara retelei sa nu aibe acces direct pe echipamentele Cisco.

Ramane problema atacurilor din interior, insa si aici se pot aplica reguli foarte stricte in asa fel incat problema sa fie redusa cat mai mult posibil

Red Balloon Security a anuntat Cisco in noiembrie 2018 despre problema aparuta, insa fara a face public nimic decat dupa update-ul CVE-2019-1882. Datele facute publice nu arata modul in care se pot aplica atacurile

Cisco a spus ca pana acum nu a descoperit echipamente compromise astfel.

Toate detaliile atacurilor de acest fel vor fi facute publice in august 2019 la Black Hat USA.

Vei gasi mereu diferite informatii noi aici, pe pagina noastra Facebook sau Twitter Daca vrei sa preiei aceasta stire sau orice alta stire de pe platforma noastra iti dam aceasta posibilitate. O poti face in limita a 500 de caractere si cu link direct catre articolul nostru ca sursa.