Просмотров: 25

Cisco и Fortinet проверяют эксплойты, полученные от Shadow Brokers

Cisco и Fortinet выпустили рекомендации по безопасности, подтверждающие, что некоторые из эксплойтов, просочившихся от Shadow Brokers, работают по назначению.

подвиги просочились

Организация выпустила партию в качестве доказательства того, что остальные данные, которые они продают (и предположительно украли у субъекта угрозы Equation Group), заслуживают покупки.

Реакция Cisco

По словам Омара Сантоса, главного инженера группы реагирования на инциденты безопасности продуктов Cisco, утечка данных содержит три ссылки на эксплойты, которые влияют на Cisco ASA, Cisco PIX и сервисный модуль Cisco Firewall: EXTRABACON, EPICBANANA и JETPLOW.

EXTRABACON использует уязвимость переполнения буфера нулевого дня (CVE-2016-6366) в коде SNMP Cisco ASA, Cisco PIX и модуля служб межсетевого экрана Cisco. Он позволяет злоумышленникам выполнять произвольный код и получать полный контроль над системой, если сначала выполняются определенные требования (уязвимое устройство должно быть настроено для SNMP с помощью команды snmp-server enable, злоумышленник должен знать строку сообщества SNMP).

В настоящее время нет исправлений для этой уязвимости, но Cisco предложила некоторые обходные пути и разработала правило Snort и устаревшую подпись Cisco IPS, которые должны помочь в обнаружении проблемы.

EPICBANANA использует уязвимость RCE (CVE-2016-6367) в анализаторе интерфейса командной строки программного обеспечения Cisco Adaptive Security Appliance (ASA). Злоумышленник должен пройти проверку подлинности, чтобы вызвать эту уязвимость.

Уязвимость была известна и исправлена ​​Cisco в 2011 году, но теперь компания переиздала оригинальную рекомендацию по безопасности,чтобы напомнить тем, кто не внедрил исправление (то есть обновление программного обеспечения, содержащее его), быстро использовать его в качестве эксплойта. сейчас публично

«JETPLOW — это постоянный имплант EPICBANANA», — наконец объяснилСантос и связал его с документом, в котором объясняется, как администраторы могут проверить, было ли изменено программное обеспечение на брандмауэре Cisco, работающем под управлением программного обеспечения Cisco ASA v3.

<

Реакция фортинет

Fortinet опубликовал рекомендацию об уязвимости переполнения буфера в синтаксическом анализаторе в своей прошивке FortiGate, которая делает возможным удаленное выполнение кода. Эксплойт для этого включен в утечку, но Fortinet отметил, что недостаток был известен и уже был исправлен.

Уязвимость существует в микропрограмме, выпущенной до августа 2012 г. (4.3.8 и ниже, 4.2.12 и ниже, 4.1.10 и ниже), и была исправлена ​​в версиях 5.x и 4.3.9 или выше.

Компания добавила, что они исследуют, являются ли другие продукты Fortinet уязвимыми.

Что теперь?

Если утечка данных поступила от Equation Group — группы, которая, как считается, имеет связи с АНБ, — это может означать, что агентство знало об ошибке нулевого дня в брандмауэрах Cisco и не раскрывало ее компании.

Добавьте к этому предыдущее откровение о том, что АНБ перехватывает сетевые устройства, экспортируемые из США, и внедряет их с помощью инструментов наблюдения за бэкдором, и вы можете видеть, как руководители этих американских компаний могут злиться.

Могут ли они что-то с этим сделать, сомнительно: администрация Обамы позволила АНБ скрыть недостатки, которые могут быть использованы для защиты «явной потребности национальной безопасности или правоохранительных органов».

Утечка Shadow Brokers также включает в себя уязвимости в сетевых устройствах от Juniper и китайских производителей TOPSEC и Shaanxi Networkcloud Information Technology, но они пока не комментируют это.

Тем не менее, одно можно сказать наверняка: сетевые администраторы по всему миру будут полны обновлений и исправлений в ближайшие дни.

Источник: https://video24.org/

Loading...