В России работают десятки тысяч устройств Cisco с "уязвимостью АНБ"

В России работают десятки тысяч устройств Cisco с "уязвимостью АНБ"

В России находятся 43,7 тыс. действующих коммутаторов Cisco с "уязвимостью АНБ" — брешью, которой могла пользоваться связанная с Агентством национальной безопасности США организация под названием Equation Group, сообщает SecurityWeek со ссылкой на исследование организации Shadowserver.

Уязвимость, о которой идет речь, под номером CVE-2016-6415, находится в программном компоненте Internet Key Exchange version 1 (IKEv1), предназначенном для обработки сетевых пакетов и являющемся частью операционных систем Cisco IOS, IOS XE и IOS XR. Она позволяет злоумышленнику дистанционно получить доступ к информации в оперативной памяти.

Как была обнаружена уязвимость

Уязвимость CVE-2016-6415 была найдена компанией Cisco Systems в ходе анализа эксплойта Benigncertain, похищенного группировкой The Shadow Brokers у организации Equation Group. В августе 2016 г. The Shadow Brokers заявила о взломе серверов Equation Group и хищении данных, предназначенных для эксплуатации уязвимостей в различном аппаратном и программном обеспечении. Среди украденных активов был и указанный эксплойт.

Разоблачение Equation Group

Equation Group специализируется на взломе компьютерных сетей и считается подразделением АНБ, которое в 2013 г. обрело скандальную репутацию благодаря публикации материалов, добытых Эдвардом Сноуденом (Edward Snowden). В них говорилось, среди прочего, что АНБ устанавливает "жучки" в коммутаторы Cisco, идущие на экспорт.

В 2015 г. "Лаборатория Касперского" нашла связь между Equation Group и АНБ, включая использование одних и тех же кодовых имен для различных проектов и одни и те же цели для совершения кибератак, что и у организаторов атак в 2010 г. с помощью Stuxnet (считается, что за этими атаками стоит правительство США).

Опрос коммутаторов

Для того чтобы понять, сколько коммутаторов в мире содержат открытую уязвимость, организация Shadowserver опросила все устройства в интернете с поддержкой протокола IPv4, не защищенные фаерволом, отправив на них специальный пакет ISAKMP объемом 64 байта и проанализировав ответ.

Устройства с 849,5 тыс. IP-адресов оказались уязвимы. Больше всего их находится в США — 256,6 тыс. штук. Россия на втором месте. Далее следуют Великобритания (42,4 тыс.), Канада (41,6 тыс.), Германия (35,4 тыс.), Япония (33,4 тыс), Франция (27,1 тыс.), Мексика (26,9 тыс.), Австралия (24,9 тыс), Китай (23,4 тыс.) и др. 

В Shadowserver отметили, что делать окончательные выводы по результатам этого опроса преждевременно. В то же время, добавили они, нет никаких свидетельств того, что данная уязвимость касается оборудования каких-либо других вендоров, кроме Cisco.

Cnews