Cisco подтвердила подлинность двух эксплоитов из опубликованного группировкой Shadow Brokers архива

Компания Cisco подтвердила подлинность двух эксплоитов, содержащихся в архиве, опубликованном хакерской группировкой The Shadow Brokers. Напомним , ранее хакеры заявили об успешном взломе серверов группировки Equation Group, подозреваемой в связи с Агентством национальной безопасности США, и разместили в открытом доступе ряд инструментов из ее арсенала. Кроме того, The Shadow Brokers отдельно выставили на продажу массив файлов и то, что участники группировки охарактеризовали как «лучшее кибероружие».

В случае с Cisco речь идет о двух эксплоитах - EPICBANANA и ExtraBacon, позволяющих проэксплуатировать уязвимости в межсетевых экранах компании и выполнить произвольный код на целевой системе. По словам экспертов Cisco, одна из уязвимостей была исправлена еще в 2011 году, однако об остальных стало известно только сейчас. Предположительно, проблемы существовали в программном обеспечении производителя по меньшей мере с 2013 года.

Один из эксплоитов, выступающий в архиве под названием ExtraBacon, предназначен для эксплуатации уязвимости переполнения буфера в межсетевых экранах Cisco ASA, Cisco PIX и сервисном модуле Firewall Services Module (FWSM). Для работы эксплоита требуются определенные условия, в частности, наличие поддержки протокола SNMP (Простой протокол сетевого управления, Simple Network Management Protocol) и знание злоумышленником SNMP-пароля. В случае успешного запуска эксплоита, атакующий сможет загрузить на устройство вредоносное ПО и выполнить произвольный код на целевой системе.

Еще один эксплоит (EPICBANANA) из арсенала Equation Group может использоваться для атак на Cisco ASA (версии 8.4.1 и ниже) с целью выполнения произвольного кода. Для этого злоумышленник должен быть локально аутентифицирован на системе (к примеру, взломав учетную запись одного из пользователей) и знать пароль telnet или SSH.