Pierwszy rootkit dla IOS

Rootkit dla systemu IOS Cisco jest sygnałem ostrzegawczym dla wszystkich, którzy mają bezgraniczną wiarę w bezpieczeństwo urządzeń sieciowych.

Rootkit dla systemu IOS Cisco jest sygnałem ostrzegawczym dla wszystkich, którzy mają bezgraniczną wiarę w bezpieczeństwo urządzeń sieciowych.

Cisco opublikowała zestaw trzech poprawek, które eliminują luki w bezpieczeństwie powłoki SSH systemu IOS (Inter-network Operating System) wykorzystywanego w routerach tej firmy, oprogramowaniu Cisco Service Control Engine, które udostępnia zaawansowane usługi sieciowe oraz błąd w aplikacji Voice Portal (zautomatyzowana obsługa połączeń telefonicznych), który umożliwiał nieuprawnioną eskalację przywilejów. Jednocześnie Cisco oficjalnie zapewnia, że luki zostały wykryte i naprawione przez jej specjalistów ds. bezpieczeństwa. Publikacja nastąpiła jednak na dzień przed zapowiadaną prezentacją rootkita DIK (Da Ios rootKit) umożliwiającego atak na system operacyjny Cisco IOS na konferencji EuSecWest w Londynie. Technikę ataku opracował Sebastian Muniz, specjalista ds. bezpieczeństwa z firmy Core Security Technologies.

Pierwszy, ale nie ostatni

Była to pierwsza w historii prezentacja rootkita przeznaczonego do ataku na system operacyjny Cisco IOS. Jak twierdzi Sebastian Muniz, opracowana przez niego technika umożliwia stworzenie kodu o funkcjonalności nie różniącej się od znanych rootkitów dla systemu Windows. Rootkit dla IOS jest instalowany w pamięci Flash wykorzystywanej podczas uruchamiania systemu.

Znane dotąd mechanizmy ataków na IOS używały kodu, który stwarzał zagrożenie tylko dla określonych, specyficznych wersji tego systemu. Technika opracowana przez Sebastiana Muniza umożliwia atak na dowolną wersję IOS, choć należy podkreślić, że nie zawiera ona oprogramowania pozwalającego na włamanie do routera. Aby zainstalować rootkit, trzeba innymi metodami uzyskać odpowiednie uprawnienia (np. hasło administratora), ale jeśli się to uda, to program pozwala później na uzyskanie pełnych możliwości niekontrolowanego monitorowania i zarządzania routerem.

Zapowiedź prezentacji poważnej luki w systemie IOS przyciągnęła zapewne uwagę nie tylko ekspertów od bezpieczeństwa, choć Sebastian Muniz nie zdecydował się na przedstawienie kodu źródłowego i technicznych szczegółów ataku, które umożliwiłyby opracowanie exploita.

Bezpieczny, ale nie idealny

Do niedawna takie systemy operacyjne jak IOS były uważane za bezpieczne i odporne na ataki, i może dlatego nie przyciągały uwagi, ani cyberprzestępców, ani specjalistów zajmujących się analizami zabezpieczeń i wyszukiwaniem luk. Choć na razie nie ma żadnych powodów do wszczynania alarmu, to ostatnio środowisko ekspertów zaczęło znacznie intensywniej analizować luki i błędy w takich systemach jak IOS oraz potencjalne zagrożenia, które mogą one spowodować.

Trudno się temu dziwić, bo na rynku routerów wykorzystywanych w firmach Cisco ma podobną pozycję jak Microsoft w segmencie systemów operacyjnych dla PC i serwerów. Według IDC, w IV kwartale 2007 r. Cisco miała w nim ponad 60-proc. udział. A ponieważ routery są kluczowym elementem w sieci, to udany atak na te urządzenia może przynieść ogromne szkody, a nawet zablokować działanie Internetu. O tym, że wykryte i już załatane luki były bardzo poważne, może świadczyć szybka reakcja Cisco. Firma ta zapowiedziała ostatnio, że poprawki dla jej oprogramowania będą publikowane regularnie, dwa razy do roku w marcu i wrześniu, a w innych terminach tylko wtedy, gdy luki będą bardzo poważne, ujawnione publicznie lub pojawią się sygnały o istnieniu exploitów.

Ivan Arce, CTO w Core Security Technologies sądzi, że poprawka Cisco dotycząca błędu w powłoce SSH dotyczy innego problemu niż przedstawiony podczas prezentacji Sebastiana Muniza. Najprawdopodobniej ma ona zapobiec tzw. rozproszonym atakom brute force na SSH, o których ostatnio pojawiło się kilka informacji na listach mailingowych. Serwer SSH jest wykorzystywany przez administratorów do zdalnego, szyfrowanego logowania do routerów. Jak wyjaśnia Cisco, poprawka eliminuje lukę umożliwiającą atakującemu wywołanie powtarzającego się ładowania systemu operacyjnego i w ten sposób przeprowadzenie ataku DoS (odmowa świadczenia usług przez urządzenie).

Ich szczegóły nie są oczywiście publikowane, ale jak pisze w swoim blogu George Bakos z organizacji SANS Internet Storm Center, "można być pewnym, że eksperci od bezpieczeństwa gorączkowo analizują poprawki wykorzystując techniki reverse engineering i starają się opracować odpowiednie exploity. Zawsze, gdy pojawia zagrożenie podobne do opisanego przez Cisco, na myśl przychodzi również możliwość arbitralnego wymuszenia wykonania szkodliwego kodu. Choć brak informacji, by w tym wypadku było to możliwe, to ostatnie prezentacje luk w IOS potencjalnie pozwalających na zainstalowanie rootkitów w urządzeniach Cisco nie powinny być traktowane z lekceważeniem".

Inny ekspert zajmujący się analizami bezpieczeństwa, Mike Lynn w 2005 r. podczas konferencji Black Hack zaprezentował technikę ataku na routery Cisco, co wywołało duże poruszenie, bo był to pierwszy tego typu, udokumentowany przypadek. Publiczne zaprezentowanie techniki możliwego ataku uznano za posunięcie kontrowersyjne, a Cisco zdecydowała się nawet na wytoczenie procesu o ujawnienie tajemnicy handlowej i naruszenie umowy licencyjnej. Proces sądowy szybko się jednak zakończył dzięki zawarciu ugody. Zapewne z uwagi na te doświadczenia, przedstawiciele Core Security starali się zabezpieczyć przed ewentualnymi oskarżeniami zapewniając, że ściśle współpracują z Cisco, by firma ta nie była zaskoczona, a jednocześnie nie będą ujawniać szczegółów technicznych.

Dla Cisco publikacja tego typu informacji jest bardzo niewygodna, zwłaszcza że zbliża się zakończenie prowadzonego od dwóch lat przez FBI śledztwa w sprawie podrobionego, produkowanego w Chinach sprzętu, który pod marką tej firmy był sprzedawany w USA i trafił do takich instytucji, jak U.S. Navy, U.S. Marine Corps., U.S. Air Force, U.S. Federal Aviation Administration, a nawet do samego FBI. Takie fałszywe urządzenia mogą zawierać system IOS z już zainstalowanym rootkitem, a na razie mało jest metod, które umożliwiałyby wykrycie zagrożenia. Można tu wymienić chyba tylko narzędzia Cisco Information Retrieval do analizy stanu systemu IOS, które zaprezentował Felix "FX" Lindner podczas konferencji Black Hat.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200