Vdor v NSA razkril luknje v Ciscovi in drugi omrežni opremi
Matej Huš
18. avg 2016 ob 23:18:03
Še vedno odmeva vdor v NSA, ki je zdaj že potrjeno pristen. Neznani napadalci, ki so vdrli v Equation Group, ki je vrsto let sodelovala z NSA (če ni bila njen del) in je imela na svojih strežnikih njena delovna orodja, so na internet priobčili najdena orodja, ki izkoriščajo resnične ranljivosti v obstoječi programski in strojni opremi. To sta že priznala Cisco in Fortinet, po nepotrjenih navedbah pa naj bila ranljiva še vsaj Juniperjeva oprema.
Seznam vseh orodij, ki so v javno dostopnem arhivu, vsebuje ExtraBacon, ki izkorišča ranljivost v Ciscovem požarnem zidu Adaptive Security Appliance pri implementaciji SNMP. Cisco je ranljivost CVE-2016-6366 priznal in napovedal popravek. Trenutno pa so pripravili orodje, ki zazna konkretno programsko opremo iz NSA, in svetujejo izklop SNMP. Drugo ranljivost izrablja EpicBanana. Gre za CVE-2016-6367, ki pa kljub novemu vnosu ni več aktualna že od leta 2011. Cisco jo je tedaj že zakrpal, a tega niso prijavili kot ranljivosti, ker je bila nižje pomembnosti.
Fortinet je prav tako priznal, da so med tarčami. EgregiousBlunder namreč napada njihov FortiGate v verzijah pred avgustom 2012. Ni še znano, ali so ranljivi tudi drugi izdelki tega proizvajalca. Po neuradnih podatkih naj bi bila ranljiva tudi Juniperjeva oprema (prek Bananaglee) in oprema podjetja TopSec (prek EligibleBombShell), a podjetji tega še nista komentirali.
Pričakovati je, da bodo v prihodnjih dneh tarče dobili tudi ostala orodja, ki jih je vdor naplavil v internet. Že doslej identificirane tarče in mehanizmi delovanja pa kažejo, da gre za zelo sposobne ljudi, saj je naprimer ranljivost ExtraBacon tehnično zahtevna za izrabo, a ob dostopu do omrežja omogoča popoln nadzor nad prometom.