На прошлой неделе Cisco Systems столкнулась с необходимостью усиления защищённости своих маршрутизаторов и коммутаторов под управлением IOS XE, поскольку обнаруженная уязвимость CVE-2023-20198 позволяла злоумышленникам удалённо получить фактически полный контроль над устройствами, которых, как теперь считается, в Сети около 40 000 единиц. Тем временем злоумышленники пытаются скрыть наличие имплантата в уже заражённых устройствах.

Уязвимый HTTP(S)-интерфейс используется для подготовки и настройки устройства, а также для устранения неполадок и дополняет интерфейс командной строки. Хотя первая атака произошла в середине сентября, исследователи Cisco Talos до конца месяца о ней не подозревали. После того как была обнаружена первая уязвимость, исследователи решили, что она использовалась в сочетании со старой уязвимостью удалённого выполнения кода (RCE) от 2021 года (CVE-2021-1435), но затем стало ясно, что они имеют дело с ещё одной новой уязвимостью нулевого дня CVE-2023-20273.

Источник изображения: Pixabay

В совокупности эти два ошибки могут обеспечить злоумышленнику root-доступ, позволяющий развёртывать вредоносное ПО или выполнять любые команды на этих устройствах, независимо от прав доступа других пользователей, что потенциально могло парализовать многие сетевые операции. В связи с этим Cisco начала выпуск исправлений для различных версий IOS XE, начиная с самой последней версии 17.9. Компания также предложила отключить HTTPS(S)-доступ или временно заблокировать сетевой трафик к веб-интерфейсу. Сетевым администраторам рекомендуется проверить журналы доступа на предмет любой вызывающей подозрения или вредоносной активности.

Cisco сообщила о выявлении ранее неизвестной уязвимости нулевого дня CVE-2023-20198 в HTTP(S)-сервере Cisco IOS XE. Уязвимость касается как физических, так и виртуальных устройств под управлением Cisco IOS XE, у которых также включена функция HTTP(S)-сервера. Уязвимость получила максимальный рейтинг опасности — 10 из 10 возможных баллов по шкале CVSS. Патч, закрывающий уязвисмость, пока не готов.

Уязвимость позволяет хакеру без прохождения аутентификации создать на подключённом к интернету устройстве учётную запись с максимальным уровнем привилегий (15), что обеспечивает ему полный контроль над скомпрометированной системой. Компания заявила, что отследила, как злоумышленник использовал уязвимость для получения привилегий уровня администратора на устройствах под управлением IOS XE, а затем, в обход патчей, используя старую уязвимость удалённого выполнения кода (RCE) от 2021 года (CVE-2021-1435) установил Lua-имплантат на затронутые системы.

Изображение: Cisco

Признаки активности злоумышленников с использованием уязвимости CVE-2023-20198 были зафиксированы ещё в сентябре. Джейкоб Бэйнс (Jacob Baines), технический директор VulnCheck, сообщил, что его компания обнаружила порядка 10 тыс. систем на базе Cisco IOS XE с установленным имплантатом — и это в результате сканирования только половины затронутых устройств с помощью поисковых систем Shodan и Censys. Тот факт, что во всех скомпрометированных системах на Cisco IOS XE установлен один и тот же вредоносный код, позволяет предположить, что за атаками стоит один злоумышленник, который пытается установить зловред во все попадающиеся на его пути уязвимые устройства.

Этого мнения придерживаются и исследователи из Detectify. Они считают, что стоящий за этим злоумышленник произвольно атакует каждую затронутую систему, которую может найти: «Похоже, что злоумышленники забрасывают широкую сеть, пытаясь использовать системы без какой-либо конкретной цели». В компании полагают, что преступник планирует в дальнейшем найти то, что может сулить выгоду. Исследователи Detectify также согласились с мнением Бейнса о том, что взломанные устройства можно легко найти с помощью поисковых систем вроде Shodan.

Cisco пока не выпустила патч для устранения бреши нулевого дня. Компания рекомендует организациям немедленно отключить функцию веб-сервера на устройствах на базе IOS XE с доступом в интернет. 17 октября Cisco обновила свои рекомендации, отметив, что также поможет контроль доступа к серверу с помощью списков доступа: «Мы с высокой степенью уверенности оцениваем, основываясь на более глубоком понимании эксплойта, что списки доступа, применяемые к функции HTTP-сервера для ограничения доступа со стороны ненадёжных хостов и сетей, являются эффективным средством защиты».

UPD 20.10.2023: Cisco выяснила, что в атаке также была использована не ранее закрытая уязвимость от 2021 года, а совершенно новая уязвимость нулевого дня, которая получила обозначение CVE-2023-20273 и рейтинг CVSS 7.2. Патчей против неё и CVE-2023-20198 всё ещё нет.

UPD 23.10.2023: Cisco начала выпуск обновлений, закрывающих уязвимости.

Касающаяся большинства информационных интернет-систем уязвимость, получившая название HTTP/2 Rapid Reset (CVE-2023-44487), стала причиной беспрецедентной DDoS-атаки, самой масштабной во всей истории Сети. Как сообщает Dark Reading, фактически речь идёт о новой главе в эволюции DDoS-угроз. Эксперты ожидают экспоненциального роста уровня атак, масштаб которых будет удваиваться примерно каждые 18 месяцев.

Серии атак по несколько минут каждая регистрировались 28 и 29 августа, за ними наблюдали AWS, Cloudflare и Google Cloud. Речь шла о кибернападениях на облачных и инфраструктурных провайдеров. Известно, что лазейкой послужил баг в протоколе HTTP/2, использующемся приблизительно в 60 % веб-приложений. IT-гиганты, наблюдавшие за ситуацией, координировали действия с другими облачными провайдерами, сервисами по обеспечению интернет-инфраструктуры, а также компаниями, занимающимися защитой от киберугроз.

Источник изображения: Lewis Kang'ethe Ngugi/unsplash.com

Как заявили в Cloudflare, HTTP/2 является фундаментальным элементом работы интернета вообще и большинства сайтов в частности. Атака позволила генерировать сотни тысяч запросов за раз, после чего немедленно отменять их, перегружая сайты и выводя из строя всё, что использует протокол HTTP/2. На пике Cloudflare регистрировала более 201 млн запросов в секунду. Google в то же время регистрировала по 398 млн запросов в секунду, в 7,5 раз больше, чем во время любой другой атаки против её ресурсов. AWS — 155 млн запросов, направленных на сервис Amazon CloudFront.

При этом в ходе августовского инцидента применялся довольно скромный ботнет из приблизительно 20 тыс. узлов — оружие оказалось довольно эффективным с учётом того, что регулярно наблюдаются более масштабные сети, иногда включающие миллионы машин. Хотя эффект от атаки оказался не столь сокрушительным, как, вероятно, надеялись её организаторы, владельцам интернет-проектов стоит уделить соответствующим угрозам особое внимание, поскольку речь идёт о гонке на опережение — злоумышленники состязаются с разработчикам защиты.

Владельцам ресурсов и сервисов рекомендуется оценить уровень защищённости своих систем от DDoS-атак и немедленно устранить уязвимость, применив патчи к серверам и иным сервисам и приложениям. Наконец, в качестве последнего средства допускается отключение HTTP/2 и также уязвимого HTTP/3 — при этом стоит помнить, что даунгрейд до HTTP/1.1 неизбежно снизит производительность.

Компания Positive Technologies сообщила о выпуске новой версии системы анализа защищённости кода приложений — PT Application Inspector 4.5.

Особенностью комплекса PT Application Inspector является гибридный подход, сочетающий статический (Static application security testing, SAST), динамический (Dynamic application security testing, DAST) и интерактивный (Interactive application security testing, IAST) анализ, а также анализ сторонних компонентов ПО (Software composition analysis, SCA). Система работает со множеством платформ и языков, включая С/C++/C#, PHP, Java, .NET, SAP ABAP, HTML/JavaScript и SQL, а также со всеми типами уязвимостей приложений, включая SQLi, XXS и XXE. Решение выявляет уязвимости как в исходном коде, так и в работающем ПО, позволяет устранить их на ранней стадии, поддерживает процесс безопасной разработки DevSecOps.

Источник изображения: ptsecurity.com

В новой версии PT Application Inspector 4.5 появилась возможность интеграции c популярными средами разработки Visual Studio Code и IntelliJ IDEA. Помимо этого, код в системе анализа теперь можно просматривать в Web IDE. Модуль не требует установки дополнительного ПО и при этом позволяет пользователям получить все преимущества работы с кодом в IDE. Также в программном комплексе появился сканирующий агент для ОС семейства Linux. Благодаря этому все компоненты продукта могут быть развёрнуты на рабочих Linux-станциях, что актуально для государственных организаций, использующих отечественные операционные системы на базе ядра Linux.

Помимо этого, в PT Application Inspector 4.5 появилась возможность подключить базу данных пользователей под управлением СУБД PostgreSQL для хранения параметров проектов и сканирований. Также в новой версии продукта была усовершенствована работа с Docker-контейнерами. В числе прочих изменений: возможность переключения интерфейса на тёмную тему и новый инструмент для создания правил поиска уязвимостей по шаблонам. Собственные правила помогают расширять базу знаний, находить новые и релевантные для конкретного пользователя типы уязвимостей.