Блог Cisco в России и СНГ
Share

SYNful Knock: обнаружение и нейтрализация угрозы для ПО Cisco IOS


September 15, 2015


15-го сентября американская компания Mandiant опубликовала в своем блоге заметку о нахождении ею в 14-ти маршрутизаторов Cisco в 4 странах модифицированного образа операционной системы Cisco IOS с встроенным вредоносным кодом (компания Mandiant назвала это имплантом), которые могут поставить под угрозу безопасность сетей наших заказчиков. Мы бы хотели прокомментировать данную заметку компании Mandiant.

Сразу надо отметить, что такая угроза не нова и в модели угроз для нашего сетевого оборудования она была давно учтена. В частности, в опубликованном еще весной 2014-го года документе с рекомендациями по обеспечению целостности оборудования на базе Cisco IOS, эта угроза, наряду с другими, упомянута, и для ее нейтрализации предложено несколько защитных мер, как организационного, так и технического характера.

В августе этого года, когда появились первые подтверждения факта реализации схожей угрозы у некоторых наших заказчиков, команда реагирования на инциденты в продуктах Cisco – Cisco PSIRT, выпустила соответствующий бюллетень, в котором было четко написано, что данная угроза реализуется не за счет каких-либо уязвимостей в программном обеспечении Cisco IOS. Для успешной установки модифицированной версии IOS необходимо иметь физический доступ к оборудованию, знать учетную запись администратора устройства и выполнить предусмотренную документацию процедуру обновления устройства. Иными словами, реализация угрозы возможна за счет недостатков организационных мер информационной безопасности в организации, а не уязвимостей в программном или аппаратном обеспечении.

После установки подмененной версии ПО и перезагрузки устройства злоумышенник может манипулировать поведением сетевого оборудования определенных моделей с ПО Cisco IOS (с оборудованием на базе ОС IOS XR, IOS XE или NX OS таких проблем не отмечалось). Обнаружить работу вредоносного кода, обнаруженного компанией Mandiant, можно с помощью разработанной нашим подразделением Cisco Talos сигнатуры для систем обнаружения атак, построенных на базе Snort (в том числе и Cisco NGIPS).

Необходимо отметить, что компания Cisco, еще в начале 2000-х годов разработала архитектуру защищенной сети Cisco SAFE (Security Architecture for Enterprise), основным идей которой был принцип “мишенью может стать любое IP-устройство в сети”. Исходя из этого принципа мы в компании Cisco и исходили создавая свои решения и разрабатывая рекомендации по их защищенному использованию. В частности, нами были разработаны следующие руководства по защите сетевого оборудования и операционной системы Cisco IOS:

Учитывая ту роль, которую сетевое оборудование играет в инфраструктуре наших заказчиков, и то внимание, которое уделяют сетевому оборудованию злоумышленники в последнее время, мы рекомендуем еще раз пересмотреть внедренный в организации процесс управления безопасность с целью учета в нем вопросов защиты сетевой инфраструктуры. Как минимум, рекомендуется выполнить следующие шаги по усилению уровня защищенности собственных сетей, построенных на оборудовании Cisco:

  1. Повысить уровень защищенности устройств на базе Cisco IOS с помощью руководств, ссылки на которые даны выше.
  2. Осуществлять мониторинг целостность сетевой инфраструктуры с помощью различных инструментов, включающих анализ аномалий, обнаружение атак и т.д.
  3. Определить нормальное (эталонное) поведение для сетевого оборудования.
  4. Контролировать аномальное поведение инфраструктуры с помощью наших рекомендаций.
  5. Определить список лиц, имеющих доступ (удаленный или физический) к оборудованию, и контролировать соблюдение правил доступа к оборудованию.

Со своей стороны компания Cisco хочет отметить, что мы уделяем серьезное внимание вопросам информационной безопасности наших заказчиков и нашего оборудования. В частности в последних версиях нашего оборудования используются различные технологии, предотвращающие возможность несанкционированного изменения или подмены ПО, и делающие невозможным угрозы, обнаруженные компанией Mandiant в оборудовании, о прекращении поставок которого было объявлено около 5 лет назад, 1-го ноября 2010 года.

Дополнительная информация может быть найдена в нашем англоязычном блоге.

Tags:
Оставить комментарий

1 Comments

  1. интересно, а почему до сих пор нет сигнатуры по обнаружению #JETPLOW в моделях ASA и PIX?