W Internecie opublikowano narzędzie do atakowania produktów Cisco Systems.

Przy użyciu programu Cisco Global Exploiter można zaatakować urządzenia Cisco, wykorzystując dziewięć znanych błędów w oprogramowaniu IOS. Celem mogą stać się m.in. popularne przełączniki Catalyst i routery IP.

Firma opublikowała na swoich stronach internetowych oficjalne ostrzeżenie. Zaleca użytkownikom zainstalowanie poprawek do oprogramowania. Do stworzenia Cisco Global Exploiter przyznała się grupa składająca się z włoskich nastolatków występująca pod nazwą "BlackAngels". Grupa twierdzi, że stworzyła narzędzie w celu zwiększenia świadomości zagrożeń związanych z błędami w IOS.

Atak do wyboru

Cisco Global Exploiter prezentuje użytkownikom menu, za pomocą którego wybierają błąd, który chcą wykorzystać. Przykładowo, może to być "Cisco 677/678 Telnet Buffer Overflow Vulnerability" albo "Cisco Catalyst 3500 XL Remote Arbitrary Command Vulnerability". Większość błędów ułatwia prowadzenie ataków typu denial-of-service, jednak przynajmniej jeden z nich pozwala na wykonanie na urządzeniu sieciowym dowolnego kodu, bez konieczności podania nazwy użytkownika czy hasła!

Niektóre błędy zostały odkryte przed kilku laty. Teoretycznie nowe narzędzie nie powinno więc stanowić zagrożenia. Niemniej, jak pokazały przykłady ataków na systemy Microsoftu, nawet błędy znane od dłuższego czasu nie zawsze są poprawione przez zainstalowanie łatek. Firmy, które wykorzystują produkty Cisco Systems zagrożone atakiem, powinny sprawdzić, czy zainstalowały wszystkie uaktualnienia, a zwłaszcza, czy uruchomione są na nich usługi FTP i Telnet.

Publikowanie narzędzi hakerskich nie jest niczym nowym. Testując możliwości przeprowadzenia ataku, hakerzy opracowują narzędzia automatyzujące podejmowanie prób niejako «przy okazji». To zaś ułatwia prowadzenie ataków osobom mniej biegłym w hakerskim rzemiośle.

Właściwy moment

Kilka dni przed opublikowaniem ostrzeżenia Cisco poinformowało o przejęciu za 39 mln USD Riverhead Networks. Firma ta produkuje urządzenia chroniące sieci korporacyjne oraz dostawców usług telekomunikacyjnych przed rozproszonymi atakami typu denial-of-service.

Rozwiązania Riverhead - Guard i Detector - są podłączane bezpośrednio do routerów. Porównują aktualny ruch sieciowy z wyuczonymi wcześniej profilami "normalnego" ruchu i zachowań użytkowników. Uczą się np. ruchu generowanego w sieci przez aplikacje. Pozwala to identyfikować i bronić się przed znanymi atakami, ale także przed nowymi zagrożeniami. Wykrywając podejrzane działania urządzenia, mogą blokować ruch na określonych portach lub do/z określonych adresów. Można je skonfigurować w taki sposób, aby jedynie informowały administratorów o pojawiających się anomaliach, nie podejmując żadnych działań prewencyjnych.

Przedstawiciele Cisco zapowiedzieli, że technologia Riverhead Networks będzie wykorzystywana najprawdopodobniej jako moduł do przełącznika Catalyst 6500 (obecnie dostępne są moduły: VPN, IDS oraz zapora firewall). Być może będzie także zintegrowana z systemem IOS routerów Cisco.