Эксперты говорят о криптографической проблеме в системе Cisco IOS

Эксперты говорят о криптографической проблеме в системе Cisco IOS

Эксперты по криптографии говорят, что компания Cisco непреднамеренно снизила уровень стойкости защиты данных в сетевой операционной системе IOS, используемой во многих сетевых устройствах компании. Эксперты говорят,что прежде в IOS использовался алгоритм шифрования и система защиты данных, однако Cisco  заменила их на более современные. Впрочем, последние, как показала практика, оказались менее надежными в сравнении с предшественниками.



Новая криптосистема, получившая название Type 4, была призвана исключить вероятность атак по словарю, когда злоумышленники подбирают пароль методом перебора комбинаций. В документах Cisco говорилось, что Type 4 должен прийти на смену нынешним Type 5 и Type 7. Однако в результате неверного развертывания усиленного алгоритма, система оказалась значительно менее стойкой, нежели предшественники. Новая система должна была работать по принципу использования хэшей паролей, а не самих паролей как таковых, пишет cybersecurity.ru.

Проблема была выявлена Филипом Шмидтом и Йенсом Стойбе из Hashcat Project, занимающихся созданием программного обеспечения для взлома паролей.

Как они рассказали, алгоритм Type 4 представляет собой разновидность реализации технологии шифрования PBKDF2 (Password-Based Key Derivation Function version 2). Последний, в свою очередь, базируется на стандарте шифрования SHA-256, но подмешивает к пасс-коду еще 80 бит случайных данных (на жаргоне криптографов - "подсаливает" код), чтобы системам взлома было значительно труднее отличить "соль" от полезных данных. Алгоритмы Type 5 и 7 работали по такому же принципу, но здесь в качестве базы применялся стандарт шифрования MD5. SHA-256 по своей организации считается более продвинутым, нежели созданный в 1992 году MD5.

Шмидт говорит, что метод "подсаливания" паролей используется практически во всех современных системах защиты, причем некоторые системы защиты используют несколько слоев "подсаливания" (а некоторые довольно много - до 1000). Это позволяет дополнительно защитить пароль, так как в этом случае 1000-кратно вырастает объем операций по перебору. То есть, чтобы проверить один реальный пароль, нужно 1000 раз проработать каждую созданную хеш-функцию, постепенно "отшелушивая" ненужные данные. На практике, это создает условия, когда взломать подобным образом защищенный пароль за обозримый период времени, даже на очень мощном оборудовании, практически невозможно.

Однако это в теории. В реальности для создания надежной защиты необходимо создать правильную реализацию алгоритма, встроенного в операционную систему.

Как рассказали в Cisco, на сегодня на базе Type 4 работают немногие образцы продуктов cisco, в частности те, что перешли на IOS 15.0 и старше. На сегодня в Cisco не опубликовали, какие именно продукты подвержены проблеме, однако заявили, что пользователи, которые уже используют Type 4, могут при помощи сравнительно несложных операций откатить систему до Type 5.

Известно, что проблема позволяет при помощи нехитрых манипуляций выявить хеши паролей в "очищенном" виде без каких-либо операций по перебору. Более того, некоторые IOS-устройства сконфигурированы для управления через интернет и доступ к хешам с паролями возможен даже удаленно. Ряд устройств содержат в себе решения для детектирования взлома, однако это в любом случае создает неудобства для администраторов.

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru