Эксперты компании Armis представят на конференции Black Hat USA разработанную ими атаку EtherOops, которая эксплуатирует проблемы кабелей Ethernet и может использоваться для обхода сетевой защиты, а также для атак на устройства внутри закрытых корпоративных сетей.

По сути, атака EtherOops полагается на неисправные кабели Ethernet, расположенные на пути от злоумышленника к его жертве. Специалисты уверены, что из-за особых условий, требуемых для реализации атаки, EtherOops вряд ли станет массовой проблемой, угрожающей компаниям по всему миру. Тем не менее, атака все же осуществима на практике, а значит, может использоваться в определенных сценариях, и совсем сбрасывать ее со счетов тоже нельзя.

EtherOops представляет собой вариацию атаки типа packet-in-packet. В такой разновидности атак пакеты вложены друг в друга, и внешняя оболочка — это безвредный пакет, тогда как внутреннее содержимое — это вредоносный код или команда. Внешний пакет позволяет скрыть полезную нагрузку от средств сетевой защиты, тогда как внутренний пакет предназначается для атак на  устройства внутри сети.

Исследователи Armis рассказывают, что благодаря EtherOops атаку типа packet-in-packet можно поднять на новый уровень. Дело в том, что неисправные кабели (которые имеют проблемы в работе из-за некорректной разводки, или из-за созданных злонамеренно помех) страдают от переворотов битов, что постепенно разрушает внешнюю оболочку и оставляет лишь внутренний пейлоад.

Таким образом, атака EtherOops может использоваться для проникновения в сети компаний из интернета; проникновения во внутренние сети из сегмента DMZ; бокового перемещения между различными сегментами внутренних сетей.

Специалисты Armis признают, что атака EtherOops сложна в реализации и требует ряда особых условий. Так, неисправные кабели должны присутствовать на ключевых позициях внутри целевой сети. В большинстве сценариев злоумышленнику, скорее всего, потребуется заманить пользователя на вредоносный сайт, чтобы получить прямое соединение с жертвой внутри корпоративной сети для доставки полезных нагрузок. Кроме того, перевороты битов, это не слишком частое явление, а значит, придется бомбардировать целевую сеть множеством пакетов в надежде на удачный переворот битов, и процент успешных атак будет крайне мал.

«Сложно? Да, но не невозможно», — резюмируют эксперты.

Самый простой способ защиты от EtherOops — использование экранированных кабелей Ethernet или защитных решений, способных обнаруживать атаки типа packet-in-packet.

Исследователи уже создали для проблемы EtherOops специальный сайт, а также опубликовали 44-страничный отчет, описывающий все технически аспекты атаки.

Ролики, демонстрирующие атаку на практике, можно увидеть ниже.

3 комментария

  1. Аватар

    rootlocal

    08.08.2020 в 14:10

    Высосано из пальца, как правило core коммутаторы находятся в цоде, коммутаторы доступа- в серверной (точка консолидации). Коммутация магистральных каналов между core и коммутаторами доступа производится оптическими кабелями + как минимум LACP или STP. На оптические кабеля никак не влияет электромагнитные излучение, наводки и пр. Следовательно данная уязвимость никаким образом не может быть произведена, при том если она действительно существует.

  2. Аватар

    rootlocal

    08.08.2020 в 14:15

    и что понимается под выражением неисправные кабели? кросс? с одной стороны A с другой B — то сейчас их не используют

  3. Аватар

    broBudd

    10.08.2020 в 10:49

    Куда катиться этот мир … вот раньше RS-232 линии мультиплексора перехватывали , а тут научились изирнет хватать.

Оставить мнение