Zestawienie tygodniowe 6 – 13 września

Administratorze sieci, ważna łatka od Cisco!

Cisco opublikowało w tym tygodniu łatki dla wielu luk o wysokim stopniu ważności w oprogramowaniu IOS XR i ostrzegła, że osoby atakujące mogą wykorzystać te błędy do ponownego uruchomienia urządzeń, podniesienia uprawnień lub nadpisania i odczytania dowolnych plików.

Najpoważniejszym z tych problemów jest CVE-2021-34720 (wynik CVSS 8,6), błąd, który można wykorzystać zdalnie bez uwierzytelniania w celu wyczerpania pamięci pakietów urządzenia, co prowadzi do stanu odmowy usługi (DoS).

Problem został zidentyfikowany w funkcjach obiektu odpowiadającego IP Service Level Agreements (IP SLA) oraz Two-Way Active Measurement Protocol (TWAMP) systemu IOS XR i występuje, ponieważ błędy tworzenia gniazd nie są prawidłowo obsługiwane podczas procesów IP SLA i TWAMP.

Wysyłając określone pakiety IP SLA lub TWAMP, osoba atakująca może wyzwolić lukę w celu wyczerpania pamięci pakietów. Może to spowodować awarię procesu IP SLA lub wpłynąć na inne procesy, takie jak protokoły routingu.

Wydano aktualizacje oprogramowania w celu usunięcia wszystkich tych luk, a Cisco twierdzi, że nie jest świadoma żadnych działających exploitów użytych podczas ataków, których celem byłyby te luki.

W osobnym zaleceniu w czwartek amerykańska rządowa agencja ds. bezpieczeństwa cybernetycznego i infrastruktury (CISA) wezwała organizacje do jak najszybszego zastosowania łatek Cisco.

„Atakujący może wykorzystać niektóre z tych luk, aby przejąć kontrolę nad zaatakowanym systemem. […] CISA zachęca użytkowników i administratorów do przeglądania […] porad Cisco i stosowania niezbędnych aktualizacji” – powiedział CISA.

Czy Mēris to najgroźniejszy bootnet w historii?

Pisaliśmy już o nim 26 sierpnia w osobnym poście, ale uszczegółowiamy bo pojawiły się nowe fakty i ustalenia.

Określany jako Mēris (łotewskie słowo oznaczające plagę), botnet jest prawdopodobnie odpowiedzialny za największy odnotowany dotychczas atak DDoS w warstwie aplikacji, który osiągnął szczyt 21,8 miliona żądań na sekundę (RPS).

Aktywny od co najmniej czerwca 2021 r. botnet przejął dziesiątki tysięcy urządzeń korzystających z połączeń Ethernet. Do tej pory botnet nie pokazał swojej prawdziwej wielkości, ale naukowcy z Qrator Labs uważają, że składa się z ponad 200 000 botów.

Większość podatnych urządzeń, jak twierdzą naukowcy, pochodzi od Mikrotik, co sugeruje, że do ich złamania mogła zostać wykorzystana nieznana wcześniej luka. Uwięzione urządzenia obsługują szeroką gamę wersji RouterOS. Aby przeprowadzić ataki DDoS, Mēris wykorzystuje technikę HTTP pipelining (http/1.1).

Od początku sierpnia botnet przeprowadził co najmniej pięć ataków, każdy bardziej niszczycielski niż poprzedni. Pierwszym był atak 5,2 miliona RPS 7 sierpnia, a ostatnim był atak 21,8 miliona RPS w zeszłym tygodniu na rosyjskiego giganta internetowego Yandex.

Źródłowe adresy IP w ostatnim ataku wykazały, że urządzenia w większości miały otwarte porty 2000 i 5678, co sugeruje, że zostały one wykonane przez Mikrotik.

Badacze Qrator Labs odkryli „328 723 aktywnych hostów w Internecie odpowiadających na sondę TCP na porcie 5678”, przy czym niektóre z nich to urządzenia Linksys, i twierdzą, że mogą one być podatne na przejęcie przez Mēris, jeśli już nie zostały przejęte.

Atak na Yandex ustanowił rekord ataków w warstwie aplikacji około dwa tygodnie po tym, jak Cloudflare ujawnił, że złagodził 17,2 miliona ataków DDoS RPS. Według Qrator Labs, Mēris mógł być również odpowiedzialny za ten incydent.