A Cisco IOS a legtöbbet használt hálózati rendszerszoftver a Cisco routereken és más hálózati eszközökön. Az IOS eszközökön a boot folyamatokért illetve a szoftver és hardver inicializálásáért a ROM Monitor (ROMMON) felelős.
A Cisco figyelmeztette vállalati ügyfeleit, hogy a klasszikus Cisco IOS rendszerekkel kapcsolatosan, néhány esetben egy újfajta támadási forma figyelhető meg. Egy támadó fizikai vagy adminisztratív hozzáférés esetén lecserélheti a Cisco IOS ROMMON (IOS bootstrap) tartalmát egy kártékony image-re, és átveheti az eszköz irányítását.
Az image cseréje (frissítése) a gyártó által publikált legitim folyamat, így ez a támadási forma nem köthető sérülékenységhez. A kopmromittált Cisco IOS felderítésére a gyártó frissítette a vonatkozó leírásait:
- Cisco IOS Software Integrity Assurance (http://www.cisco.com/web/about/security/intelligence/integrity-assurance.html)
- Cisco Guide to Harden IOS Devices (http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html)
- Telemetry-Based Infrastructure Device Integrity Monitoring (http://www.cisco.com/web/about/security/intelligence/network-integrity-monitoring.html)
Update:
SYNful Knock egyfajta perzisztens malware, amely lehetővé teszi, hogy a támadó átveheti az irányítást az érintett eszközön, és megsértheti annak integritását a támadó által módosított Cisco IOS szoftver segítségével. A káros kód jelenléte Cisco 14 különböző típusú routerén egy hátsó kapu segítségével információszivárgást tesz lehetővé az alábbi országokban: Ukrajna, Fülöp-szigetek, Mexikó és India. A routerek firmware-nek fertőzöttre történő cseréje nem csak elméleti kockázatot jelent. A támadónak szüksége van érvényes rendszergazdai jogosultságra vagy fizikai hozzáférésre az áldozat készülékén. A firmware HTTP protokollon keresztül kerül frissítésre, egy speciálisan formázott TCP csomaggal. A hátsó kapu jelszava hozzáférést biztosít a routerhez konzolon és Telneten keresztül.
Források:
- http://tools.cisco.com/security/center/viewAlert.x?alertId=40411
- https://threatpost.com/cisco-warns-customers-about-attacks-installing-malicious-ios-bootstrap-images/114250
- https://blogs.cisco.com/security/synful-knock
- https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html
- http://www.heise.de/security/meldung/SYNful-Knock-FireEye-beschreibt-Angriffe-auf-Cisco-Router-2818356.html
- http://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis0.html