Другие новости

Злоумышленники установили вредоносные имплантаты высокой стойкости на маршрутизаторах Cisco

15.09.2015 | 23:58 Экономика

Прошивка, по крайней мере, 14-ти бизнес-маршрутизаторов была заменена взломанной версией с бэкдором

Замена прошивки маршрутизатора взломанной версией больше не является чисто теоретическим риском. Исследователи из Mandiant обнаружили реальный случай установки взломанной прошивки на бизнес-маршрутизаторах, расположенных в четырех странах.

Имплант, получивший название SYNful Knock, обеспечивает нападавшим высокопривилегированный доступ на устройство через бэкдор и сохраняется даже после перезагрузки. Это отличается от типичного вредоносного ПО на потребительские маршрутизаторах, которое стирается из памяти после перезагрузки устройства.

SYNful Knock является модификацией операционной системы IOS, которая работает на профессиональных маршрутизаторах и коммутаторах Cisco Systems. Пока он был найден исследователями из Mandiant в «маршрутизаторах с интегрированными сервисами» Cisco 1841, 8211 и 3825, которые, как правило, используются компаниями в филиалах или поставщиками сетевых услуг.

Mandiant — дочерняя компания фирмы кибербезопасности FireEye, которая специализируется на сервисах реагирования на инциденты. Взломанные прошивки обнаружены на 14-ти маршрутизаторах в Мексике, Украине, Индии и на Филиппинах.

Данные модели больше не продаются Cisco, но нет никакой гарантии, что новые модели не будут затронуты в будущем (или уже были затронуты).

Имплант был установлен не благодаря наличию уязвимости, а с помощью учетных данных администратора (используемых по умолчанию или украденных). Модификация к прошивке была сделана так, что ее размер совпадал с размером оригинала.

Прошивка реализует бэкдор-пароль для привилегированного пользователя Telnet и консольного доступа, а также слушает команды, содержащиеся в специально созданных пакетах TCP SYN — отсюда и название SYNful Knock.

Специальная процедура «knocking» может быть использована для того, чтобы дополнительные вредоносные модули были загружены в память маршрутизатора. В отличие от бэкдор-пароля, эти модули не переживают перезагрузку устройства.

Компромисы маршрутизаторов очень опасны, потому что они дают злоумышленникам возможность получать и модифицировать сетевой трафик, направлять пользователей на поддельные веб-сайты и запускать другие атаки на устройства, серверы и компьютеры, расположенные внутри изолированных сетей.

Маршрутизаторы обычно не получают того же уровня внимания к своей безопасности, как рабочие станции или серверы. Они не защищены брандмауэрами и не имеют антивирусной защиты.

«Обнаружение бэкдоров в вашей сети может быть сложной задачей, а найти имплант в маршрутизаторе, тем более», заявляют исследователи безопасности Mandiant. «Данный бэкдор предоставляет широкие возможности для атакующей стороны в плане распространения и компрометации других хостов и критических данных, используя маршрутизатор в качестве скрытого плацдарма».