Новый руткит для Cisco IOS

image

Теги: руткит, IDC

Себастьян Муниц, эксперт по ИТ-безопасности, рассказывает, что созданный руткит работает сразу на нескольких версиях IOS и загружается он на этапе включения устройства, после чего пребывает во flash-памяти маршрутизатора, предоставляя административный доступ к устройству.

Себастьян Муниц, эксперт по ИТ-безопасности из компании Core Security Technologies разработал экспериментальное ПО для удаленного администрирования (руткит), работающее в операционной системе Cisco IOS. Напомним, что данная ОС управляет большинством сетевых маршрутизаторов и концентраторов Cisco.

Как правило, руткиты включают в себя разнообразные утилиты для «заметания следов» вторжения в систему, сниферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты (в случае неядерного руткита). Руткит позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов а также самого присутствия руткита в системе. Сегодня большинство руткитов работают в среде операционных систем Windows, меньшее их количество наблюдается под Linux и Unix. Руткиты под экзотические ОС, такие как IOS, вообще уникальны.

Муниц продемонстрирует свою разработку через неделю - 22 мая на конференции EuSecWest conference в Лондоне. Однако уже сегодня он рассказывает, что созданный руткит работает сразу на нескольких версиях IOS и загружается он на этапе включения устройства, после чего пребывает во flash-памяти маршрутизатора, предоставляя административный доступ к устройству.

Исходный код руткита Муниц пока не планирует публиковать, а все данные передаст в Cisco.

По словам экспертов из аналитической компании IDC,в том случае, если указанный руткит в действительности открывает доступ злоумышленнику к сетевому устройству, отвечающему за передачу данных от тысяч клиентов, то он может быть критически опасен. Ситуация усугубляется тем, что оборудование Cisco фактически является стандартом де-фактом для многих телекоммуникационных компаний и очень широко распространено.

За последний год компания Cisco также неоднократно сообщала об уязвимостях в ISO, однако в большинстве случаев они были связаны либо в неверной конфигурацией по умолчанию, либо в уязвимостями, связанными с неверной обработкой IP-протоколов (IPv4 и IPv6) и его заголовков.


или введите имя

CAPTCHA
Страницы: 1  2  
1
15-05-2008 15:38:55
o.O Шожебуит ????
0 |
1
15-05-2008 15:44:16
Ничёнебуит Руткит никто так и не увидит, только циски и он сам, остальным о нём только рассказуют.
0 |
1
16-05-2008 00:21:32
Knock-knock,Neo.Someone pwns you
0 |
15-05-2008 15:47:53
Следуйте нашим рекомендациям по защите IOS и не оставляйте ее в настройках по умолчанию. Детально про самозащиту IOS - http://www.cisco.com/en/US/products/ps6642/products_data_sheet09186a00801f98de.html Более общо - http://www.cisco.com/en/US/products/ps6642/index.html Все защитные функции IOS - http://www.cisco.com/en/US/products/ps6540/index.html
0 |
1
16-05-2008 00:53:14
Следуйте нашим рекомендациям по защите IOS и не оставляйте ее в настройках по умолчанию. Лукацкий, *, мы твою циску не покупали и не купим. Продукт неплохой, но дорого продаваемый и необязательный при наличии хороших специалистов по СЗИ. А с плохими спецами и циску вашу поиметь могут. <moderator> * Нарушение пункта правил 3.d. Запрещается размещение сообщений, содержащих грубые, нецензурные, матерные выражения и оскорбления в любой форме - сообщения, грубые по тону, содержащие "наезды" или угрозу, направленную на участника конференции. * Нарушение п. 6. Открытое обсуждение действий модератора с нарушением п 3.d </moderator>
0 |
1
19-05-2008 12:59:18
тем неменее я солидарен. за такие бапки + стоимость сертифицированного цискаря, луче сделать аналогичное решение на линуксе/бсд с аналогичным сертифицированным линуксовым/бсдшным специалистом. решение получится более гибкое и более отказоустойчивое. поясняю - выгоревшие желески меняются, конфиги легче бэкапятся да и операционка целиком сливается в образ. и делается это менее гиморойно чем в циске
0 |
1
15-05-2008 16:00:10
Только вначале нужно получать доступ на его загрузку..
0 |
1
15-05-2008 17:54:46
x25zine/01
0 |
1
15-05-2008 19:26:17
Все крутые серваки ломаются после посещения админом порно-сайта
0 |
1
16-05-2008 00:22:42
Тебя не смущает что с циски проблематично посетить порносайт?То есть посетить его может конечно и можно но все-равно веселых картинок видно не будет.
0 |
16-05-2008 07:28:41
хм, интересное наблюдение ссылочку на порно-сайт не дадите ))
0 |
Страницы: 1  2