Wykryte nie znaczy unieszkodliwione

Informacje na temat wykrycia nowych luk pojawiają się niemal każdego dnia. Najpierw temat jest szeroko komentowany w internecie, następnie producenci udostępniają dla nich łaty, a później wszystko ucicha. Może się wydawać, że skoro problem został rozwiązany, można o nim zapomnieć. Jednak nie do końca tak jest. Dlaczego? Otóż nie wszyscy administratorzy instalują aktualizacje, a zwłaszcza dotyczy to oprogramowania zainstalowanego na sprzęcie sieciowym. A to dlatego, że zwykle wymaga to włożenia odrobiny pracy.

Niektórzy administratorzy systemu uważają, że ich firmy nie staną się celem ataku. Gdy oficjalny komunikat informuje, że nie znaleziono przypadków wykorzystania danej luki na wolności, uważają oni, że jest ona tylko teoretyczna.

W zeszłym roku pojawiły się informacje na temat wykrycia kilku poważnych luk w urządzeniach firmy Cisco. W jednym z raportów — SNMP Remote Code Execution Vulnerabilities in Cisco IOS and IOS XE operating systems (advisory ID: cisco-sa-20170629-snmp) — wyjaśniono, w jaki sposób ktoś mógłby potencjalnie uzyskać pełną kontrolę nad systemem. Jedyne, czego potrzeba w tym celu, jest ciąg znaków tylko do odczytu SNMP (coś na kształt identyfikatora lub hasła użytkownika) dla danego systemu. Problem został ujawniony w lipcu 2017 r. Firma Cisco zawsze podchodzi do kwestii związanych z lukami bardzo poważnie; tak było i tym razem — niezwłocznie udostępniła wymagane aktualizacje, dzięki czemu nie wykryto prób wykorzystania znalezionych błędów.

Nasz kolega Artem Kondratenko, ekspert ds. testów penetracyjnych, przeprowadził swoje badanie w tym zakresie i odkrył, że router Cisco ma domyślny łańcuch znaków SNMP. Zdecydował się sprawdzić, na ile niebezpieczna mogłaby być ta luka: czy dzięki temu routerowi można uzyskać dostęp do sieci wewnętrznej? Nawiasem mówiąc, odkrycie Kondratenko nie było unikatowe. W wyszukiwarce Shodan można znaleźć 3313 urządzeń tego modelu, które posiadają domyślny łańcuch znaków.

My jednak pozostawimy szczegóły techniczne — zainteresowanych zachęcamy do obejrzenia prezentacji Kondratenko podczas wydarzenia Chaos Communications Congress — i skupimy się na ostatecznych wnioskach z tej sytuacji. Badacz udowodnił, że luka ta może zostać użyta do uzyskania dostępu do systemu na najwyższym poziomie uprawnień w powłoce IOS Cisco — 15. Zatem mimo że nie było przypadków użycia tej luki na wolności (jeszcze), ignorowanie jej nie jest mądre. Kondratenko potrzebował zaledwie czterech tygodni od chwili wykrycia dziurawego urządzenia do utworzenia dowodu koncepcji wykorzystania luki cisco-sa-20170629-snmp.

Aby mieć pewność, że Twój router nie będzie pierwszą ofiarą tej luki:

1. Zadbaj o aktualność oprogramowania urządzenia sieciowego.
2. Nie używaj domyślnego hasła w routerach połączonych z siecią zewnętrzną (lepiej jest unikać haseł domyślnych w ogóle).
3. Na bieżąco śledź informacje dotyczące zakończenia wsparcia dla urządzeń sieciowych — po tym czasie nie będą one otrzymywać od producentów żadnych aktualizacji.