Уязвимости существуют и в Cisco IOS, как и в любой другой части программного обеспечения, но лишь немногие тестировщики сумели использовать недостатками памяти для выполнения удалённо загруженного в неё кода (Remote Buffer Overflow). По этой причине, большинство реальных нападений на устройства под управлением Cisco IOS как правило, сосредоточены на двух направлениях: слабые конфигурации и пароли.
Прежде чем мы углубимся в особенности, давайте проанализируем текущее состояние дел с Cisco IOS по тестированию безопасности. Сканеры уязвимостей делают большую работу по выявлению устаревших версий Cisco IOS путем сравнения версии строк. Это хорошо работает для определения того, пропатчено устройство или нет, но это ни нисколько не помогает тестировщику, который не имеет за плечами большого опыта исследований Cisco IOS. За редкими исключениями, остаётся небольшое количество служб, которые обычно используются во внутрикорпоративной среде внутри компании. Например, это могут быть SNMP, Telnet, SSH, HTTP и HTTPS. Вы также можете найти запущенную службу Finger для взаимодействия служб медиа протоколов, таких как SIP и H.323. Для получения удаленного доступа к устройству вам следует тестировать преимущественно первые пять служб.
Для старых версий операционной системы Cisco IOS известно несколько уязвимостей HTTP. Две из них, о которых сейчас пойдёт речь, относятся к уязвимостям типа «Обход аутентификации». Первая уязвимость CVE-2000-0945 относится к отсутствию проверки подлинности в Interface Manager Cisco IOS устройств. Эта уязвимость позволяет не прошедшим проверку подлинности получить привилегированный доступ к устройству с Cisco IOS через веб-интерфейс. Вторая уязвимость CVE-02001-0537 позволяет обойти проверку подлинности, указав уровень проверки подлинности выше, чем «15» в запросе HTTP. Это также предоставляет привилегированный доступ к устройству через веб-интерфейс. С открытым исходным кодом Metasploit Framework в настоящее время обеспечивает оба модуля для эксплуатации этих уязвимостей:
1. /auxiliary/scanner/http/cisco_device_manager
2. /auxiliary/scanner/http/cisco_ios_auth_bypass
Metasploit Express и Metasploit Pro автоматически распознают Cisco IOS HTTP службу во время сканирования, проверьте эти два недостатка, и используйте их для получения доступа к рабочей конфигурации устройства.
В дополнение к этим двум известным уязвимостям, пароли устройства также могут быть найдены путём перебора с использованием службы HTTP. Протокол HTTP является относительно быстрым по подбору пароля, нежели медленные терминальные службы Telnet и SSH. Metasploit Express и Metasploit Pro автоматически скопирует рабочую конфигурацию устройства после успешного подбора пароля к службе HTTP устройства Cisco IOS.
Следующую службу, которую я хочу обсудить, — это SNMP. Как ни странно, SNMP часто оставляют без присмотра на большом числе маршрутизаторов. Причиной этого может быть общее мнение о том, чем SNMP является. Simple Network Management Protocol предоставляет широкий спектр информации в большом спектре систем в стандартном формате. Независимо от того, кто производитель вашего коммутатора или маршрутизатора, почти любой клиент SNMP мониторинга программного обеспечения будет работать с этим устройством, при условии, что SNMP включен и настроен.
Многие сетевые администраторы не понимают, что SNMP предоставляет слишком широкий спектр информации о работающем устройстве, и даже то, что записи сообществ SNMP могут быть использованы для получения полного контроля над этим устройством. В случае с Cisco IOS, записываемые сообщества SNMP могут быть использованы для загрузки и запуска альтернативной конфигурации устройства или изменения его текущей конфигурации. Маршрутизатор с выключенной службой Telnet и с тривиальным паролем может быть угнан почти мгновенно через записи сообщества SNMP. Metasploit Pro и Metasploit Framework включают в себя модуль SNMP brute force tool, написанный в качестве вспомогательного модуля, который может использовать словарь общих паролей для идентификации действительных сообществ маршрутизатора и определяет, являются ли они только для чтения или для чтения и записи. В дополнение к основному модулю подбора пароля к SNMP, Metasploit теперь содержит модуль, который использует сообщества SNMP, доступные для записи для загрузки и запуска альтернативной конфигурации устройства.
Metasploit Express и Metasploit Pro используют оба эти модуля для автоматического захвата файла конфигурации уязвимых устройств с Cisco IOS. Во время сканирования подбор паролей к SNMP сообществам запускается в фоновом режиме с небольшим списком слов из общего словаря. Если любой из этих паролей работает и если хотя бы одно сообщество обнаружено как записываемое, тогда Metasploit Express и Metasploit Pro настроит локальную службу TFTP и скачает файл конфигурации этого устройства. Протокол SNMP теперь так же интегрирован в средства интеллектуального подбора паролей. Компонент интеллектуального подбора паролей использует список наиболее часто используемых имен сообществ в дополнение к динамически генерируемым паролям. Этот список получен в результате исследовательского проекта по изучению паролей веб-форм и встроенных файлов конфигурации. Так, проанализировав результаты, мы определили, какие пароли чаще всего используются, в том числе для SNMP сообществ. Результаты этого проекта были удивительны, пароли «public@ES0» и «private@ES0» наиболее широко используется, как это описано в примере конфигурации в документации Cisco.
Последние два протокола, которые хотелось бы обсудить – это Telnet и SSH. Эти протоколы и обеспечивают доступ к удаленной командной оболочке на целевом устройстве под управлением Cisco IOS, как правило, для непривилегированных пользователей. Наиболее заметным отличием одного протокола от другого является то, что SSH часто требует знания удаленного имени пользователя и пароля, когда Telnet обычно запрашивает только пароль для проверки подлинности пользователя. Metasploit Framework содержит модули подбора паролей с использованием этих протоколов и будет автоматически создавать интерактивные сессии до тех пор пока подходящий пароль не будет найден.
В целом Metasploit Express и Metasploit Pro всегда имели на борту готовые модули тестирования сетевых устройств через Telnet и SSH протоколы, но в последней версии теперь стало возможным использовать список наиболее часто используемых паролей, составленный нашими аналитиками. В самом начале списка слов приведены необычные пароли, в целом подбор по словарю очень эффективен, если в качестве пароля для доступа к устройству было использовано реально существующее слово. Не углубляясь слишком далеко, я могу сказать, что некоторые провайдеры часто используют один и тот же пароль для настройки абонентского оборудования.
После того, как был подобран пароль и установлена рабочая сессия через Telnet или SSH протоколы устройства Cisco IOS, функция автоматического сбора информации, включённая в Metasploit Express и Metasploit Pro автоматически считает информацию о версии IOS, список активных пользователей и попытается получить пароль к доступу «enable» путём перебора по списку наиболее распространенных паролей. Если попытка подобрать пароль «enable» увенчается успехом, то автоматически вы получите дополнительную информацию о системе, в том числе о текущей конфигурации устройства.
Скриншот ниже демонстрирует процесс подбора пароля к Telnet VTY, затем пароля «enable», затем выгрузку конфигурации и её анализ:
В исследованиях, перечисленных выше нет ничего нового. Новым является лишь простота использования продуктов Metasploit и их способность по цепочке автоматически скомпрометировать уязвимые устройства. По большому счёту эти тесты являются лишь ориентиром для дальнейшего развития наших коммерческих продуктов.
Одна вещь, о которой я не упомянул до сих пор, является то, что мы на самом деле будем делать с полученными файлами конфигурации Cisco IOS после того как мы их получили в процессе тестирования сетевых устройств. Эти файлы содержат рабочие конфигурации устройств, которые включают в себя VTY пароли, пароли «enable», ключи VPN, SSL сертификаты, и параметры доступа к WiFi. Metasploit будет обрабатывать автоматически эти файлы конфигурации, чтобы выбрать из них конфиденциальные данные и сохранить их как данные аутентификации.
Metasploit Express и Metasploit Pro могут автоматически использовать полномочия, полученные из файлов конфигурации, чтобы получить доступ к другим устройствам этой же сети. Если доступ был получен к одному из устройств Cisco через слабые сообщества SNMP, и было обнаружено, что VTY пароль «ciscorules!», то вы можете использовать профиль подбора паролей «known-only» для того, чтобы автоматически попробовать этот пароль, с помощью любого протокола, в отношении любого другого устройства в той же самой сети. После того как вы получите доступ к другим устройствам, конфигурационные файлы будут так же получены на ваш компьютер и также будет запущен процесс их анализа. Вы можете легко применить пароли, взятые из маршрутизаторов Cisco для входа на сайт интрасети или использовать их для получения доступа к множеству других сетевых устройств. Одна из наших целей развития заключается в обеспечении пользователей информацией о самом слабом звене в сети.
