Digital Security провели анализ импланта JETPLOW для устройств Cisco

Эксперты исследовательского центра компании Digital Security Роман Бажин и Максим Малютин произвели технический анализ импланта JETPLOW для межсетевых экранов Cisco. В ходе исследования выяснилось, что данное ПО может «встроиться» в оборудование Ciscoи скрыто там существовать, выполняя команды оператора, контролирующего его.

Закладка предоставляет своему оператору практически неограниченные возможности на зараженном устройстве, включая фильтрацию и манипулирование транзитным трафиком, использование зараженного оборудования для дальнейшей атаки на сетевую инфраструктуру организации, кражу конфиденциальной информации и т.д. Причем оператор может иметь доступ даже к информации, передаваемой по защищенным каналам связи.

JETPLOW имеет возможность устанавливаться как удаленно через уязвимость или аутентификационные данные администратора устройства, так и локально при наличии физического доступа (например, при транспортировке). Имплант может встраиваться в Cisco PIX 500-й серии и Cisco ASA серии 5505, 5510, 5520, 5540, 5550.

Другие выводы:

• Данные в бесплатной части архива от The Shadow Brokers соответствуют материалам, опубликованным Эдвардом Сноуденом;
• При анализе архива было замечено, что название JETPLOW используется для обозначения ранних версий импланта (в основном, для PIX), а новым версиям дано название SCREAMINGPLOW;
• Команда разработки JETPLOW/SCREAMINGPLOW была многочисленна, проделала огромную работу и имела как в наличии, так и удаленно большое количество аппаратуры Cisco для разработки и тестирования;
• Без аппаратной защиты (TPM) подобные JETPLOW могут появляться и в дальнейшем, поскольку программными средствами от этого не защититься.

Полное исследование доступно в работе под названием “Архитектура JETPLOW – NSA бэкдор в моей подставке под кофе”: https://habrahabr.ru/company/dsec/blog/309560/.

Согласно данным, обнародованным Эдвардом Сноуденом, имплант JETPLOWвходит в состав архива кибероружия Агентства национальной безопасности (АНБ). Информация о нем также содержится на страницах архива, выставленного на продажу командой The Shadow Brokers.

В документах, опубликованных Эдвардом Сноуденом, присутствует такое описание: «JETPLOW is a firmware persistence implant for Cisco PIX Series and ASA (Adaptive Security Appliance) firewalls». Cотрудники Digital Security после детального анализа пришли к выводу, что под термином «имплант» подразумевается backdoor (закладка) с функцией bootkit’а.

Стоит отметить, что JETPLOW из опубликованного архива ориентирован только на оборудование Cisco, датированное 2013 годом и ранее. Но эксперты компании Digital Security провели дополнительное собственное исследование и смогли реализовать аналогичную концепцию для современного оборудования Cisco. Производитель уведомлен об уязвимостях и работает над их закрытием.