Digital Security провели анализ импланта JETPLOW для устройств Cisco

Digital Security провели анализ импланта JETPLOW для устройств Cisco

Эксперты исследовательского центра компании Digital Security Роман Бажин и Максим Малютин произвели технический анализ импланта JETPLOW для межсетевых экранов Cisco. В ходе исследования выяснилось, что данное ПО может «встроиться» в оборудование Ciscoи скрыто там существовать, выполняя команды оператора, контролирующего его.

Закладка предоставляет своему оператору практически неограниченные возможности на зараженном устройстве, включая фильтрацию и манипулирование транзитным трафиком, использование зараженного оборудования для дальнейшей атаки на сетевую инфраструктуру организации, кражу конфиденциальной информации и т.д. Причем оператор может иметь доступ даже к информации, передаваемой по защищенным каналам связи.

JETPLOW имеет возможность устанавливаться как удаленно через уязвимость или аутентификационные данные администратора устройства, так и локально при наличии физического доступа (например, при транспортировке). Имплант может встраиваться в Cisco PIX 500-й серии и Cisco ASA серии 5505, 5510, 5520, 5540, 5550.

Другие выводы:

  • Данные в бесплатной части архива от The Shadow Brokers соответствуют материалам, опубликованным Эдвардом Сноуденом;
  • При анализе архива было замечено, что название JETPLOW используется для обозначения ранних версий импланта (в основном, для PIX), а новым версиям дано название SCREAMINGPLOW;
  • Команда разработки JETPLOW/SCREAMINGPLOW была многочисленна, проделала огромную работу и имела как в наличии, так и удаленно большое количество аппаратуры Cisco для разработки и тестирования;
  • Без аппаратной защиты (TPM) подобные JETPLOW могут появляться и в дальнейшем, поскольку программными средствами от этого не защититься.

Полное исследование доступно в работе под названием “Архитектура JETPLOW – NSA бэкдор в моей подставке под кофе”: https://habrahabr.ru/company/dsec/blog/309560/.

Согласно данным, обнародованным Эдвардом Сноуденом, имплант JETPLOWвходит в состав архива кибероружия Агентства национальной безопасности (АНБ). Информация о нем также содержится на страницах архива, выставленного на продажу командой The Shadow Brokers.

В документах, опубликованных Эдвардом Сноуденом, присутствует такое описание: «JETPLOW is a firmware persistence implant for Cisco PIX Series and ASA (Adaptive Security Appliance) firewalls». Cотрудники Digital Security после детального анализа пришли к выводу, что под термином «имплант» подразумевается backdoor (закладка) с функцией bootkit’а.

Стоит отметить, что JETPLOW из опубликованного архива ориентирован только на оборудование Cisco, датированное 2013 годом и ранее. Но эксперты компании Digital Security провели дополнительное собственное исследование и смогли реализовать аналогичную концепцию для современного оборудования Cisco. Производитель уведомлен об уязвимостях и работает над их закрытием. 

Digital Security Роман Бажин и Максим Малютин произвели технический анализ импланта JETPLOW для межсетевых экранов Cisco. В ходе исследования выяснилось, что данное ПО может «встроиться» в оборудование Ciscoи скрыто там существовать, выполняя команды оператора, контролирующего его. " />
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

iOS и iPadOS 17.4.1 устранили уязвимость удалённого выполнения кода

Apple раскрыла немного подробностей относительно одного из последних обновлений, вышедших на прошлой неделе, — iOS и iPadOS 17.4.1. Оказалось, апдейты устраняют опасную уязвимость, способную привести к удалённому выполнению кода.

Как пишет корпорация, уязвимость, получившая идентификатор CVE-2024-1580, затрагивает следующие модели «яблочных» устройств:

  • iPhone XS и более поздние;
  • iPad Pro (12,9 дюйма) и более поздние;
  • Первое поколение 11-дюймового iPad Pro и более поздние;
  • Третье поколение iPad Air и более поздние;
  • iPad mini пятого поколения и более поздние.

Корень CVE-2024-1580 кроется в библиотеке с открытым исходным кодом — dav1d AV1 (используется для декодирования AV1-видео на многих платформах и девайсах), допускающей запись за пределами границ.

В iOS и iPadOS от бреши страдают два компонента: фреймворк Core Media, предназначенный для обработки мультимедийных данных, и имплементация WebRTC.

Чтобы полностью избавить пользователей от CVE-2024-1580, Apple выпустила патчи для браузера Safari, а также систем macOS Sonoma и VenturavisionOS. За информацию об уязвимости корпорация поблагодарила исследователи из команды Google Project Zero.

Есть мнение, что Apple не сразу опубликовала разъяснения к апдейтам именно потому, что разработчики считают CVE-2024-1580 опасной проблемой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru