Cisco, Fortinet и WatchGuard проанализировали эксплойты, просочившиеся недавно в сеть благодаря группе называющей себя Shadow Brokers. В то время как Fortinet и WatchGuard заявили, что устранили эти уязвимости несколько лет назад, Cisco обнаружили уязвимость нулевого дня в своих продуктах.
Таинственная группа Shadow Brokers утверждают, что взломали The Equation Group – киберкриминальную организацию, которая, как полагают, связана с Агентством национальной безопасности США (NSA). Shadow Brokers, которые, как предполагают некоторые, могут спонсироваться Россией, опубликовали 300Mb эксплоитов для фаерволлов, инструменты для взлома и прочую информацию. Также они предложили продать еще больше информации по цене 1 млн. Bitcoin (эквивалентно сумме более $ 500 млн.).
Лаборатория Касперского, которая провела обширный анализ инструментов Equation Group, , что эти файлы датируются 2010-2013 гг. Тем не менее, это все еще значительная утечка.
Shadow Brokers эксплоиты для взлома межсетевых экранов, сделанные Fortinet, TopSec, Cisco, Juniper Networks, WatchGuard и нескольких неизвестных производителей.
Cisco обнаруживает уязвимость нулевого дня
В случае Cisco, эксплоиты предназначаются для брандмауэров PIX и ASA. Компания , что один из эксплоитов, получивший название «EPICBANANA» использовал уязвимость в интерфейсе командной строки (CLI) анализатора программного обеспечения Cisco Adaptive Security Appliance (ASA).
Брешь в безопасности, именуемая CVE-2016-6367, могут быть использована, чтобы вызвать состояние отказа в обслуживании (DoS) или для выполнения произвольного кода. Тем не менее, Cisco отметил, что эта уязвимость была исправлена в 2011 году.
Вторая уязвимость подтвержденная Cisco получила название «EXTRABACON» и является уязвимостью нулевого дня (zero-day). Отслеживаемая как , брешь представляет серьезную опасность и затрагивает Simple Network Management Protocol (SNMP). Использование этой уязвимости позволяет неавторизованному злоумышленнику удаленно заставить систему перезагрузиться или выполнить произвольный код.
Cisco еще предстоит выпустить обновления безопасности, но компания уже приняла временные по предотвращению вторжений.
Другие компании пропатчили свои продукты
Fortinet детали эксплоита, который вызывал произвольное выполнение кода и назывался «EGREGIOUSBLUNDER». По словам вендора, эксплоит затрагивает прошивки, выпущенные до августа 2012 года.
WatchGuard пояснил, что эксплоит «ESCALATEPLOWMAN» не затрагивает их продукцию. Так что пользователи могут быть спокойны.
В случае Juniper Networks, утек эксплоит для брандмауэра Netscreen под названием «FEEDTROUGH». На данный момент Juniper не опубликовали никакого заявления по этому поводу.
Китайская компания TopSec также не публиковали никаких заявлений, несмотря на тот факт, что многие из эксплотитов нацелены на их брандмауэры. С другой стороны, компания, похоже, не выпускала никакие бюллетени безопасности более года.
В преддверии летнего сезона специалисты сервиса Solar Space (ГК «Солар») фиксируют резкий рост кибератак на сайты санаториев, гостиниц, пансионатов, небольших туроператоров, а также фитнес-клубов и сервисов аренды свадебного декора.
Как отмечают в ГК «Солар», это отражает общую тенденцию увеличения количества атак на веб-ресурсы малого и среднего бизнеса. За ними могут стоять как политически мотивированные хактивисты, так и недобросовестные конкуренты.
С технической точки зрения атаки делятся на два основных типа. Первый — классические DDoS-атаки, цель которых — сделать сайт недоступным для пользователей. Второй — атаки с использованием ботов, создающих фиктивные бронирования и мешающих настоящим клиентам воспользоваться услугами.
Эксперты рекомендуют бизнесу как минимум обеспечить базовую защиту от DDoS и автоматизированной вредоносной активности. Также необходимо организовать постоянный мониторинг, чтобы своевременно оценивать нагрузку на сайт и оперативно реагировать на инциденты.
«Подобные атаки направлены как на нанесение ущерба пользователям, которые могут остаться без нужных услуг, так и на подрыв деятельности самих компаний, теряющих потенциальную прибыль. При этом злоумышленниками могут быть как идеологически мотивированные группы, так и хакеры, действующие по заказу конкурентов», — комментирует Артём Избаенков, директор платформы облачной киберзащиты Solar Space ГК «Солар».
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
