A diferença entre falhas detectadas e corrigidas

Pesquisador da Kaspersky mostra como é possível explorar uma vulnerabilidade “teórica”

Notícias sobre vulnerabilidades chegam a mídia diariamente. São discutidas na Internet, desenvolvedores liberam atualizações, a partir daí todo mundo se acalma. Embora tudo pareça estar bem e o problema resolvido, não é bem assim. Nem todos administradores resolvem todas as falhas, especialmente no que diz respeito a softwares de equipamento de rede, as quais demandam bastante esforço.

Alguns administradores de rede não pensam que seus negócios se tornaram alvo de criminosos. No máximo, verificam junto a consultores oficiais de segurança pela frase mágica “sem sinal de exploração da vulnerabilidade na internet” -relaxam e pensam que a vulnerabilidade é apenas teórica.
Ano passado, diversas falhas em equipamentos da Cisco foram reportadas. Em um desses casos – que ficou conhecida como SNMP Remote Code Execution nos sistemas operacionais Cisco IOS e IOS XE (ID do consultor: cisco-sa-20170629-snmp) – mostrou como um cibercriminoso poderia potencialmente tomar controle. Havia apenas uma necessidade: uma série SNMP (espécie de login ou senha) para o sistema. O problema é conhecido desde julho de 2017. A empresa, que é bastante comprometida com as questões de segurança, a corrigiu prontamente, de modo que nenhuma tentativa de exploit foi detectada.

Nosso colega Artem Kondratenko, especialista em testes de intrusão, conduziu um exame de invasão externa e descobriu um router da Cisco com a série SNMP padrão. Ele decidiu investigar o quão perigosa a vulnerabilidade poderia ser. Foi aí que ele estabeleceu um objetivo: obter acesso à rede interna por meio do roteador. É importante dizer que essa descoberta não foi única. O Shodan lista 3313 dispositivos do mesmo modelo com a série de fábrica.

Deixemos os detalhes técnicos de lado. Se você quiser conhecer melhor a pesquisa, veja a palestra no Chaos Communications Congress. O importante aqui é o resultado final. Afinal, conseguiu demonstrar que a vulnerabilidade pode ser usada para acessar sistemas com privilégios de nível 15, o mais alto no contexto da Cisco IOS. Portanto, embora não existam registros de uso indevido na Internet – ainda – ignorar o fato não é nada inteligente. Nosso especialista levou quatro semanas entre a descoberta da brecha no dispositivo até a confecção das provas da invasão ao cisco-sa-20170629-snmp.

Para garantir que seu roteador não será a primeira vítima dessa vulnerabilidade, é interessante seguir as seguintes recomendações:

  1. Certifique-se que os softwares e seu equipamento de rede estão atualizados;
  2. Não use séries padrão em routers conectados a redes externas (melhor, evite esse tipo de identificação em qualquer contexto);
  3. Fique de olho quanto a anúncios de encerramento de fornecimento de suporte aos seus dispositivos de rede – depois disso, o fabricante provavelmente não emitirá novas atualizações.
Dicas