Кабель Ethernet может использоваться для обхода межсетевых экранов
Специалисты компании Armis, специализирующейся на безопасности устройств "Интернета вещей", представили на конференции Black Hat новый метод атаки на устройства во внутренней корпоративной сети, позволяющий обходить межсетевые экраны.
Для осуществления атаки, получившей название EtherOops, атакуемая сеть должна содержать уязвимый кабель Ethernet. В настоящее время метод является только теоретическим, и, по словам исследователей, не представляет собой распространенную проблему. Тем не менее, специалисты предупреждают, что в определенных обстоятельствах EtherOops может использоваться серьезными киберпреступниками (например, работающими на правительство), поэтому ее пока нельзя сбрасывать со счетов.
EtherOops представляет собой атаку "пакет-в-пакете" (packet-in-packet), когда один сетевой пакет внедряется в другой. При этом внешняя оболочка - легитимный пакет, а ее "начинка" - вредоносный код или команда. Внешний пакет позволяет полезной нагрузке обходить сетевые решения безопасности, в том числе межсетевые экраны, в то время как внутренний пакет атакует устройства в сети.
Однако сетевые пакеты обычно не меняют свой состав и не "сбрасывают" оболочку. Здесь на помощь атакующему приходит уязвимый кабель Ethernet. По словам исследователей, проблемные кабели часто страдают от нежелательных электрических помех и манипуляций с битами внутри пакета - так называемого bit-flipping. Bit-flipping медленно разрушает внешнюю оболочку и оставляет внутреннюю полезную нагрузку активной.
С помощью EtherOops злоумышленники могут:
-Проникать в корпоративные сети непосредственно из интернета;
-Проникать в корпоративные сети из сегмента DMZ;
-Перемещаться по боковым каналам между разными сегментами внутренней сети.
DMZ (англ. Demilitarized Zone - демилитаризованная зона) - сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных.