Cisco устранила четвертый бэкдор-аккаунт за четыре месяца

Cisco устранила четвертый бэкдор-аккаунт за четыре месяца

Cisco устранила четвертый бэкдор-аккаунт за четыре месяца

В четвертый раз за четыре месяца Cisco устранила жестко закодированные учетные данные (так называемый бэкдор-аккаунт) в одном из своих продуктов. Злоумышленник мог использовать эти данные для доступа к устройствам.

На этот раз бэкдор-аккаунт был найден в решении Wide Area Application Services (WAAS). Проблема получила идентификатор CVE-2018-0329, она представляла собой захардкоденную общую строку SNMP (SNMP community string), находящуюся в конфигурационном файле.

SNMP (Simple Network Management Protocol) — стандартный интернет-протокол для управления устройствами в IP-сетях на основе архитектур TCP/UDP.

«Злоумышленник может проэксплуатировать эту уязвимость, используя статическую строку в запросах SNMP на зараженное устройство», — пишет Cisco. — «Правильно использованный эксплойт может позволить злоумышленнику читать любые данные, доступные через SNMP».

Тот факт, что эта SNMP-строка была скрыта от владельцев устройств — даже тех, у кого есть учетная запись администратора — усложнял ситуацию, так как сами владельцы не могли обнаружить проблему во время регулярных проверок.

Бэкдор случайно обнаружил эксперт Аарон Блэр из RIoT Solutions в процессе исследования другой уязвимости в WaaS — CVE-2018-0253. CVE-2018-0253 — брешь, приводящая к повышению привилегий в инструменте проверки диска WaaS, она помогла Блэру повысить привилегии с «admin» до «root».

Использовав root-доступ Блэр смог обнаружить скрытую строку SNMP в файле /etc/snmp/snmpd.conf.

«Эту строку нельзя обнаружить или устранить без доступа к корневой файловой системе. Обычно такого доступа у администраторов нет», — говорит исследователь.

Cisco выпустила обновления для WaaS на этой неделе.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Первая в России платформа оценки кибербезопасности поставщиков

Компания CICADA8 запустила первую в России интерактивную платформу по оценке кибербезопасности поставщиков — CICADA8 CyberRating. Решение класса TPRA позволяет в реальном времени проводить оценку уровня защищённости контрагентов, партнёров и дочерних организаций.

Платформа собирает данные из открытых источников, анализирует десятки параметров и формирует рейтинг защищённости, который актуализируется в режиме реального времени.

Такой подход позволяет службам ИТ и ИБ выявлять риски при взаимодействии с третьими лицами и минимизировать вероятность атак через цепочку поставок, а руководителям бизнеса — принимать обоснованные решения при выборе контрагентов.

CICADA8 CyberRating формирует рейтинг кибербезопасности на основе независимой оценки организаций по трём критериям: наличие уязвимостей на ИТ-периметре (Vulnerability Rating), репутация активов, расположенных на внешнем периметре (Network Rating), и наличие утечек баз данных, ассоциированных с данной компанией (Leaks Rating).

Компаниям предлагается бесплатно проверить до трёх организаций в рамках пилотного периода. Подробнее о решении можно узнать на официальном сайте CICADA8.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru