Устаревшие Cisco: угроза из прошивки

Шпионские операции со взломом корпоративных роутеров теперь встречаются гораздо чаще, и учитывать это нужно всем организациям.

Как защититься от взломов корпоративных роутеров и файрволов

Устройства на границе Интернета и внутренней сети компании, особенно ответственные за безопасность и управление сетевым трафиком, зачастую становятся приоритетной целью атакующих. Они не вызывают подозрений, отправляя большие объемы трафика вовне, но в то же время имеют доступ к ресурсам организации и значительной части внутреннего трафика. Немаловажен и тот факт, что логи сетевой активности нередко генерируются и хранятся прямо на этих устройствах, так что, скомпрометировав роутер, можно легко удалить из них следы вредоносной активности.

Именно поэтому компрометация роутеров стала «коронным номером» самых сложных киберугроз, таких как Slingshot, APT28 и Camaro Dragon. Но сегодня эта тактика доступна и атакующим попроще, особенно если в организации используются устаревшие, неофициально поддерживаемые или полубытовые модели маршрутизаторов.

Для атаки на маршрутизаторы и межсетевые экраны, как правило, используются уязвимости, благо они обнаруживаются с завидной регулярностью. Иногда эти уязвимости настолько серьезны и при этом настолько удобны атакующим, что некоторые эксперты ставят вопрос о намеренном внедрении бэкдоров в прошивку устройств. Однако даже при закрытых уязвимостях некоторые ошибки конфигурации и просто неустранимые особенности старых моделей роутеров могут привести к их заражению. Подробный анализ такой продвинутой атаки недавно опубликовали американские и японские агентства по кибербезопасности, сфокусировавшись на активностях группировки BlackTech (она же T-APT-03, Circuit Panda и Palmerworm). В анализе есть описание их TTP внутри зараженной сети, но мы сосредоточимся на самом интересном аспекте этого отчета — вредоносных прошивках.

Атака Black Tech на слабое звено в системе защиты компании

Атакующие начинают атаку на компанию с проникновения в один из региональных филиалов крупной компании-жертвы. Для этого используются классические тактики, от фишинга до эксплуатации уязвимостей, но атака на роутер еще не происходит. Преступники пользуются тем, что в филиалах часто используется более простая техника и хуже соблюдаются политики IT и ИБ.

Затем BlackTech расширяет присутствие в сети филиала и получает административные реквизиты доступа к роутеру или межсетевому экрану. С их помощью пограничное устройство обновляют вредоносной прошивкой и используют его статус доверенного для разворачивания атаки уже на штаб-квартиру.

Механика компрометации роутера

Сначала на устройство загружается легитимная, но устаревшая прошивка. После перезагрузки хакеры немедленно модифицируют информацию, загруженную в оперативную память устройства (hot patching), чтобы отключить функции безопасности, которые обычно препятствуют загрузке модифицированных компонентов (ROMmon). Именно для выполнения этого трюка нужно сначала запустить старую версию прошивки. После отключения ROMmon на роутер загружается модифицированная прошивка, а в некоторых случаях — и модифицированный загрузчик устройства. После перезагрузки роутер становится полностью подконтролен атакующим.

Модифицированная прошивка прослушивает трафик в ожидании «волшебного» пакета, который активирует функции бэкдора. После получения этого пакета устройство предоставляет атакующему полный доступ к управлению своими функциями, невзирая на отсутствие его в списке контроля доступа (Access Control List), и при этом допускает подключение к сессии SSH с определенным именем пользователя, не требуя никакого пароля. Действия этого пользователя не протоколируются.

Как злоумышленники используют роутер

Вредоносная прошивка роутера не только обеспечивает атакующим надежное закрепление в атакованной сети, но и помогает решать целый спектр тактических задач:

  • позволяет скрыть смену конфигурации;
  • не протоколирует команды и действия атакующих;
  • препятствует выполнению некоторых легитимных команд в консоли роутера, затрудняя расследование инцидента.

В отчете делается акцент на вредоносные прошивки для роутеров Cisco на платформе IOS, но упомянуто, что BlackTech аналогично компрометирует и другие модели сетевого оборудования. Добавим, что ранее в инцидентах с компрометацией пограничных устройств фигурировали бренды Fortinet, SonicWall, TP-Link и Zyxel.

Противодействие атакам на роутеры и межсетевые экраны

Очевидно, что организация находится под угрозой, если в ней используются устаревшие модели пограничных сетевых устройств, устаревшие версии их прошивки, а также прошивки, полученные из неофициальных источников (и это верно не только для техники Cisco). Впрочем, даже новый роутер со свежей прошивкой может стать полезным орудием злоумышленника, поэтому ряд мер, рекомендованных авторами исследования, стоит применять в каждой сети.

Поместите административные системы в отдельную локальную подсеть (VLAN). Заблокируйте любой несанкционированный трафик c роутера, особенно если обмен данными происходит не с устройствами из административной VLAN.

Ограничьте доступ к службам администрирования только IP-адресами авторизованных администраторов. Списки доступа можно применить ко всем линиям консоли (VTY) и конкретных административных сервисов. Для роутеров Cisco рекомендовано ограничить связь с внешними системами для VTY при помощи команды transport output none.

Отслеживайте неуспешные и успешные попытки доступа к администрированию роутера.

Регулярно проверяйте логи сетевых устройств на такие события, как неожиданная перезагрузка, смена версии ОС, изменение конфигурации, попытка обновить прошивку. Проводите сверку с планами IT по обновлению ПО, чтобы убедиться, что каждое такое событие было авторизовано.

Отслеживайте «странные» входящие и исходящие сетевые соединения от пограничных устройств. В норме сетевые устройства обмениваются данными о роутинге и сетевой топологии только с близлежащими устройствами, а администрирование, мониторинг, аутентификация и синхронизация времени ведутся только с небольшим количеством административных компьютеров.

Меняйте все пароли и ключи при малейших подозрениях на компрометацию хотя бы одного пароля.

Обновите оборудование. Пожалуй, это самое сложное и неприятное в рекомендациях. Если в организации используются устаревшие модели техники, не поддерживающие технологии безопасной загрузки (secure boot), рекомендовано запланировать и забюджетировать обновление этой техники в максимально короткие сроки. При выборе новой техники предпочтительно выбирать производителей, использующих методологии безопасной разработки и подход secure by design.

Советы