Далеко не все администраторы устанавливают обновления, ну и тем более не все делают это вовремя, то есть максимально быстро. Особенно когда речь идет о программном обеспечении, работающем на сетевом оборудовании: для его обновления зачастую приходится прилагать много усилий.
Мотивация у системных администраторов, которые не ставят обновления, может быть разная.
Некоторые не верят в то, что могут стать целью злоумышленников. Другие просто считают, что пока уязвимость теоретическая, волноваться не стоит.
В прошлом году в оборудовании Cisco было найдено несколько уязвимостей.
Одна из них — возможность исполнения произвольного кода при эксплуатации ошибок в реализации протокола SNMP в операционных системах Cisco IOS и IOS XE (по номенклатуре Cisco — cisco-sa-20170629-snmp).
Эксплуатируя эту уязвимость, злоумышленник потенциально может получить полный контроль над системой.
Известно об этой проблеме с июля 2017 года, патч давно доступен (Cisco вообще оперативно закрывают уязвимости в своих продуктах), однако до сих пор она считается теоретической: попыток эксплуатации не выявлено.
Эксперт Артем Кондратенко проводил тест на проникновение и обнаружил маршрутизатор Cisco c дефолтной общей строкой SNMP (общая строка, или community string, — это что-то вроде пароля, позволяющего получить статистику от устройства по протоколу SNMP).
Он решил проверить на практике, насколько эта уязвимость может быть опасной, и поставил себе цель получить через этот маршрутизатор доступ во внутреннюю сеть. К слову — случай не уникальный: согласно данным поисковика Shodan, в сети находится 3313 устройств этой модели с все той же дефолтной общей строкой.
Технические подробности мы опустим. Те, кто хочет ознакомиться с ними, могут посмотреть выступление Артема на Chaos Communications Congress.
Важен финал. Он продемонстрировал, что при помощи этой уязвимости можно получить доступ к устройству с уровнем привилегий 15 (высшим в оболочке Cisco IOS).
Да, случаев эксплуатации этой уязвимости злоумышленниками пока не выявлено, но это не значит, что о ней можно забыть.
В общей сложности, с момента обнаружения уязвимого устройства на то, чтобы доказать возможность эксплуатации, у Артема ушло четыре недели.
Чтобы быть уверенным, что ваше сетевое оборудование не станет первой жертвой, необходимо:
- Удостовериться что ваши маршрутизаторы обновлены.
- Следить за тем, чтобы в устройствах, имеющих выход во внешние сети, не использовалась дефолтная общая строка (а лучше вообще не использовать ее).
- Следить за датой конца срока службы вашего сетевого оборудования — после этого оно перестанет обслуживаться производителями и вряд ли получит обновления, закрывающие уязвимости, которые будут обнаружены после этой даты.