시스코 라우터가 해커 스포트라이트를 다시 받음

보안 연구원은 루트킷과 라우터에 대한 새로운 해킹 및 침입 탐지 소프트웨어에 관해 이야기 할 예정입니다

3 년 전 보안 연구원 인 마이클 린 (Michael Lynn)은 시스코 제품에 대해 허가없이 라우터에서 간단한 "쉘 코드 (shellcode)"프로그램을 실행 한 방법에 대해 이야기하면서 주목을 받았다. Lynn의 논란이 많은 이야기는 Black Hat 2005에서 가장 큰 이야기였습니다. 그는 시스코에 대한 회사의 금지 사항을 해결하기 위해 직장을 그만 두어야했으며, Cisco와 회의 주최자는 모두 Cisco에 의해 신속하게 고소되었습니다. 네트워킹 회사는 린의 프레젠테이션 슬라이드에는 회사의 지적 재산권을 침해하는 정보가 포함되어 있으며 린의 이야기는 문자 그대로 회의 자료 패키지에서 찢어 졌다고 주장했다. 화해 합의에서 연구원은 그의 작품에 대해 더 이상의 논의가 금지되었지만 그의 프리젠 테이션 사본 (pdf)은 온라인에 게시되었습니다.

[추가 자료: 미디어 스트리밍 및 백업을위한 최고의 NAS 박스]

오늘 Cisco Chief John Stewart 보안 책임자는 자신의 회사가 고객과 지적 재산권을 보호해야하는 올바른 이유를 위해 행동했지만 지나치게 멀리 나아 갔다고 말하면서이 경험에 대해 매우 솔직합니다. "어리석은 일을했습니다. "그래서 나는 개인적으로 블랙 햇을 플래티넘 레벨에서 후원 한 것입니다. 왜냐하면 나는 우리가해야 할 일이 있다고 생각하기 때문입니다."린은 오랫동안 일자리가 없었습니다. 블랙 햇 감독 인 제프 모스 (Jeff Moss)에 따르면 그는 시스코 경쟁 업체 인 주니퍼 네트웍스 (Juniper Networks)에 의해 재빨리 잡혔지만 몇 년 동안 이야기를 나눈 후에 시스코 해킹에 대한 공개 토론은 거의 없었다고합니다.

모스는 경제가 일부 시스코 연구원이 지하에있다. 시스코 취약점을 악용하는 코드는 너무나도 소중하기 때문에 보안 회사 나 정부 기관에 판매하지 않고 자신의 조사 결과를 공개하려는 해커가 많은 돈을 포기하는 경우가 많습니다. 마이크 린 (Mike Lynn)의 취약점은 약 미화 25 만 달러에 달했다고 생각합니다.

하지만 올해는 상황이 열렸습니다. 블랙 햇 (Black Hat) 조직자는 시스코 라우터와 인터 네트워크 운영 시스템에 관한 3 가지 회담을 계획하고있다. 모스는 "올해 갑자기 많은 것들이 헐렁하게 부서졌습니다"라고 말하면서 마이크로 소프트 윈도우가 더 이상 버그 사냥을위한 비옥 한 토양이되지 않았기 때문에 연구원들은 해킹 할 다른 제품을 찾고 있습니다. 그리고 시스코의 라우터는 흥미로운 목표입니다. 리서치 회사 인 IDC에 따르면 라우터 시장의 60 % 이상을 점유하고 있다고한다.

"당신이 네트워크를 소유하고 있다면, 당신은 회사를 소유한다"라고 유럽의 COLT Telecom의 네트워크 엔지니어링 및 보안 책임자 인 Nicolas Fischbach는 말했다. 데이터 서비스 제공 업체. "Windows PC를 소유하는 것은 더 이상 우선 순위가 아닙니다."그러나 시스코 라우터는 Windows보다 더 어려운 목표를 설정합니다. 그들은 해커들에게 잘 알려져 있지 않으며 여러 구성으로 제공되기 때문에 하나의 라우터에 대한 공격은 잠시 후에 실패 할 수 있습니다. 또 다른 차이점은 시스코 관리자가 소프트웨어를 지속적으로 다운로드하고 실행하지 않는다는 것입니다.

마지막으로 시스코는 최근 인터넷에서 라우터에 대해 실행할 수있는 공격의 수를 줄이기 위해 많은 노력을 기울였습니다. Fischbach. "네트워크 서비스에 대해 사용할 수있는 모든 기본적인, 정말로 쉬운 악용 사례는 실제로 없어졌습니다"라고 그는 말했습니다. 회사 네트워크 외부의 누군가가 잘 구성된 라우터를 해킹 할 위험은 "정말로 낮습니다."

보안 연구원의 최신 작물을 저지하지 못했습니다.

2 개월 전 Core Security 연구원 인 Sebastian Muniz 시스코 라우터에 대한 탐지가 어려운 루트킷 프로그램을 구축하는 새로운 방법을 보여 주었으며 이번 주 동료 인 Ariel Futoransky는이 분야에 대한 회사의 연구에 대한 블랙 햇 업데이트를 제공 할 예정입니다.

또한 런던에 본사를 둔 보안 컨설팅 회사 인 IRM (Information Risk Management)의 두 연구원은 해커에게 Cisco IOS 소프트웨어가 코드를 처리 할 때 어떤 일이 발생 하는지를 보여주는 GNU 디버거의 수정 된 버전을 공개 할 계획이며 세 가지 쉘 코드 프로그램 시스코 라우터를 제어하는 ​​데 사용할 수 있습니다.

IRM 연구원 인 Gyan Chawdhary와 Varun Uppal은 Lynn의 작업을 다시 살펴 봤습니다. 특히, 그들은 린 (Lynn)이 Check Heap이라는 IOS 보안 기능을 우회하는 방식을 자세히 살펴 봤는데,이 기능은 라우터의 메모리에서 해커가 시스템에서 승인되지 않은 코드를 실행할 수있는 수정 유형을 검색합니다.

그들은 시스코가 린이 Check Heap을 속이기 위해 사용했던 기술을 차단했지만, 코드를 시스템에 몰래 넣는 다른 방법이 여전히 있음을 발견했습니다. Lynn이 공개 한 후 Cisco는 "단순히 벡터에 패치를 적용했습니다."라고 Chawdhary는 말했습니다. 그는 "라우터의 메모리 일부를 수정함으로써 힙 체크를 우회하여 시스템으로 쉘 코드를 실행할 수 있었다"고 말했다.

린 연구원은 Felix "FX"Lindner도 블랙 햇에서 시스코 해킹에 대해 이야기 할 것입니다. Recurity Labs의 대표 인 Lindner는 CIR (Cisco Incident Response)이라는 새로운 시스코 법의학 도구를 공개 할 계획입니다.이 도구는 지난 수개월 동안 베타 테스트를 거쳤습니다. 상용 소프트웨어 버전이 공격을 탐지하고 장치의 법의학 분석을 수행 할 수있는 동안 라우터의 메모리에 루트킷이 있는지 확인하는 무료 버전이 제공 될 예정입니다.

이 소프트웨어는 피쉬 바흐와 같은 네트워킹 전문가에게 길을 열어 줄 것입니다 돌아가서 Cisco 장치의 메모리를 살펴보고 그것이 변경되었는지 확인하십시오. "나는 거기에 쓸모가 있다고 생각한다"고 그는 말했다. "나에게 그것은 법의학을 수행 할 때 툴킷의 일부분이지만, 당신이 의지해야 할 유일한 도구는 아닙니다."라고 Cisco는 여전히 공격에 큰 장벽이 있다고 Stewart는 말합니다. 예를 들어, 많은 공격자가 라우터를 해킹하기를 꺼립니다. 실수를하면 네트워크 전체가 녹슬 어질 수 있기 때문입니다. "아무도 우리가 사용하고있는 인프라로 원숭이를 원하기 때문에 일종의 패스를 얻는다"고 그는 말했다. "다른 도시로 가려고하는 동안 고속도로가 엉망이되는 것과 같습니다."

시스코는 현재 심각한 보안 걱정이 없지만 스튜어트는 당연시하고 있습니다.

실제로 그의 회사가 지금까지 운이 좋았다고 인정했다. 그는 Lindner와 같은 충분한 사람들이 문제에 착수하기 시작하면 그것이 바뀔 수 있음을 알고있다. "우리는 시간이있다"고 말했다. "우리는 더 나은 기회를 얻었고 공격면을 낮추기 위해 지속적으로 투자해야합니다."