Cisco подтвердила подлинность двух эксплоитов из опубликованного группировкой Shadow Brokers архива

Cisco подтвердила подлинность двух эксплоитов из опубликованного группировкой Shadow Brokers архива

Речь идет о двух эксплоитах - EPICBANANA и ExtraBacon, позволяющих проэксплуатировать уязвимости в межсетевых экранах компании и выполнить произвольный код на системе.

Компания Cisco подтвердила подлинность двух эксплоитов, содержащихся в архиве, опубликованном хакерской группировкой The Shadow Brokers. Напомним , ранее хакеры заявили об успешном взломе серверов группировки Equation Group, подозреваемой в связи с Агентством национальной безопасности США, и разместили в открытом доступе ряд инструментов из ее арсенала. Кроме того, The Shadow Brokers отдельно выставили на продажу массив файлов и то, что участники группировки охарактеризовали как «лучшее кибероружие».

В случае с Cisco речь идет о двух эксплоитах - EPICBANANA и ExtraBacon, позволяющих проэксплуатировать уязвимости в межсетевых экранах компании и выполнить произвольный код на целевой системе. По словам экспертов Cisco, одна из уязвимостей была исправлена еще в 2011 году, однако об остальных стало известно только сейчас. Предположительно, проблемы существовали в программном обеспечении производителя по меньшей мере с 2013 года.

Один из эксплоитов, выступающий в архиве под названием ExtraBacon, предназначен для эксплуатации уязвимости переполнения буфера в межсетевых экранах Cisco ASA, Cisco PIX и сервисном модуле Firewall Services Module (FWSM). Для работы эксплоита требуются определенные условия, в частности, наличие поддержки протокола SNMP (Простой протокол сетевого управления, Simple Network Management Protocol) и знание злоумышленником SNMP-пароля. В случае успешного запуска эксплоита, атакующий сможет загрузить на устройство вредоносное ПО и выполнить произвольный код на целевой системе.

Еще один эксплоит (EPICBANANA) из арсенала Equation Group может использоваться для атак на Cisco ASA (версии 8.4.1 и ниже) с целью выполнения произвольного кода. Для этого злоумышленник должен быть локально аутентифицирован на системе (к примеру, взломав учетную запись одного из пользователей) и знать пароль telnet или SSH.

 


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!