Уязвимость беспроводной локальной сети Cisco может открыть «задняя дверь»

Некоторые точки беспроводного доступа от Cisco Systems имеют уязвимость, которая может позволить хакеру перенаправлять трафик за пределы предприятия или потенциально получить доступ ко всей корпоративной сети, сообщила компания безопасности.

В основе проблемы лежит что новые AP для AP добавлены в сеть, сообщает AirMagnet, компания по обеспечению безопасности беспроводной сети, которая обнаружила эту проблему и планировала сообщить о ее результатах во вторник.

Существующие точки доступа передают информацию о ближайшем сетевом контроллере, с которым они общаются. Таким образом, когда предприятие висит в новой точке доступа, эта точка доступа прослушивает информацию, передаваемую другими точками доступа, и знает, к какому контроллеру подключиться.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Однако, существующие AP передают эту информацию, включая IP-адрес контроллера и MAC-адрес (управление доступом к среде), незашифрованные. Обманывая эту информацию из эфира относительно просто и можно делать с помощью бесплатных инструментов, таких как NetStumbler, сказал Уэйд Уильямсон (Wade Williamson), директор по управлению продуктами в AirMagnet.

Вооружившись информацией, которую передают AP, человек может настроить таргетинг на контроллер с помощью например, отказ в обслуживании, а также удаление раздела сети, сказал Уильямсон. Но, скорее всего, злоумышленник должен быть физически на месте, чтобы сделать это, сказал он.

Больший потенциал заключается в том, что человек может «взлететь» на новую точку доступа, подключив AP к контроллеру, который находится за пределами предприятие. Это станет «матерью всех мошенников», - сказал Уильямсон. «Вы могли бы создать заднюю дверь с помощью беспроводной точки доступа». Разрушительные точки доступа обычно представляют собой те, которые сотрудники подключаются к корпоративной сети без разрешения.

Это может произойти случайно. Cisco AP может слышать передачи из законной соседней сети и ошибочно подключаться к этой сети, сказал он. Или хакер мог создать такой же сценарий намеренно, чтобы взять под контроль AP, сказал он.

Хакер снаружи с контролем этой точки доступа мог видеть весь трафик, соединяющий эту точку доступа, но также имеет потенциал для доступ к полной сети предприятия, сказал Уильямсон.

Уязвимость затрагивает все «легкие» точки доступа Cisco, что означает работу, которая работает совместно с контроллером, сказал он. Это включает в себя большинство AP, выпущенных Cisco с момента приобретения Airespace в 2005 году.

Представитель Cisco Эд Тан заявил, что AirMagnet предупредил компанию о проблеме и что Cisco проводит расследование. Cisco очень серьезно относится к уязвимостям безопасности.

«Наша стандартная практика заключается в выпуске общедоступных рекомендаций по безопасности или других соответствующих сообщений, которые включают корректирующие меры, чтобы клиенты могли решать любые проблемы», - говорится в заявлении компании. «По этой причине мы не предоставляем комментарии по конкретным уязвимостям до тех пор, пока они не будут опубликованы публично, в соответствии с нашим хорошо известным процессом раскрытия информации».

Хотя уязвимость может привести к серьезным последствиям, использовать ее было бы непросто. Хакер должен был быть рядом, когда предприятие случайно повесило новую точку доступа, которая пыталась подключиться к сети.

Предприятия, использующие точки доступа Cisco, могут помешать возникновению ситуации в небе, отключив предварительную настройку которая позволяет AP автоматически подключаться к ближайшему контроллеру. Однако даже когда эта функция отключена, существующие точки доступа передают информацию о контроллере, не зашифрованном, поэтому хакер все еще может собирать эту информацию, сказал Уильямсон.

AirMagnet обнаружил проблему, когда клиент обратился за помощью после получения повторяющихся сигналов тревоги незашифрованный широковещательный трафик в беспроводной сети. Уильямсон сказал, что весь этот трафик должен быть зашифрован, и компания готовилась к строгой проверке. Как сказал AirMagnet, он обнаружил источник незашифрованной информации, сказал он.

Он ожидает, что Cisco предложит клиентам отключить трансляции или затмить их.