Újfajta támadás Cisco IOS-es eszközökre


2015. augusztus 14. 08:19

A Cisco IOS a legtöbbet használt hálózati rendszerszoftver a Cisco routereken és más hálózati eszközökön. Az IOS eszközökön a boot folyamatokért illetve a szoftver és hardver inicializálásáért a ROM Monitor (ROMMON) felelős.

A Cisco figyelmeztette vállalati ügyfeleit, hogy a klasszikus Cisco IOS rendszerekkel kapcsolatosan, néhány esetben egy újfajta támadási forma figyelhető meg. Egy támadó fizikai vagy adminisztratív hozzáférés esetén lecserélheti a Cisco IOS ROMMON (IOS bootstrap) tartalmát egy kártékony image-re, és átveheti az eszköz irányítását.

Az image cseréje (frissítése) a gyártó által publikált legitim folyamat, így ez a támadási forma nem köthető sérülékenységhez. A kopmromittált Cisco IOS felderítésére a gyártó frissítette a vonatkozó leírásait:

  • Cisco IOS Software Integrity Assurance (http://www.cisco.com/web/about/security/intelligence/integrity-assurance.html)
  • Cisco Guide to Harden IOS Devices (http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html)
  • Telemetry-Based Infrastructure Device Integrity Monitoring (http://www.cisco.com/web/about/security/intelligence/network-integrity-monitoring.html)

Update:

SYNful Knock egyfajta perzisztens malware, amely lehetővé teszi, hogy a támadó átveheti az irányítást az érintett eszközön, és megsértheti annak integritását a támadó által módosított Cisco IOS szoftver segítségével. A káros kód jelenléte Cisco 14 különböző típusú routerén egy hátsó kapu segítségével információszivárgást tesz lehetővé az alábbi országokban: Ukrajna, Fülöp-szigetek, Mexikó és India. A routerek firmware-nek fertőzöttre történő cseréje nem csak elméleti kockázatot jelent. A támadónak szüksége van érvényes rendszergazdai jogosultságra vagy fizikai hozzáférésre az áldozat készülékén. A firmware HTTP protokollon keresztül kerül frissítésre, egy speciálisan formázott TCP csomaggal. A hátsó kapu jelszava hozzáférést biztosít a routerhez konzolon és Telneten keresztül.

Források:

  • http://tools.cisco.com/security/center/viewAlert.x?alertId=40411
  • https://threatpost.com/cisco-warns-customers-about-attacks-installing-malicious-ios-bootstrap-images/114250
  • https://blogs.cisco.com/security/synful-knock
  • https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html
  • http://www.heise.de/security/meldung/SYNful-Knock-FireEye-beschreibt-Angriffe-auf-Cisco-Router-2818356.html
  • http://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis0.html
Címkék

IOS cisco

Legfrissebb sérülékenységek
CVE-2024-41110 – Docker Engine AuthZ pluginok sérülékenysége
CVE-2024-20401 – Cisco Secure Email Gateway sérülékenysége
CVE-2024-20419 – Cisco Smart Software Manager On-Prem sérülékenysége
CVE-2024-21687 – Atlassian Bamboo Data Center és Server sérülékenysége
CVE-2024-6385 – GitLab CE/EE sérülékenysége
CVE-2024-22280 – VMware Aria Automation sérülékenysége
CVE-2024-6151 – Citrix Virtual Apps and Desktops sérülékenysége
CVE-2024-6235 – NetScaler Console sérülékenysége
CVE-2024-38080 – Windows Hyper-V sérülékenysége
CVE-2024-38112 – Windows MSHTML Platform sérülékenysége
Tovább a sérülékenységekhez »