» » Бэкдор SYNful knock позволяет подменять операционную систему маршрутизаторов Cisco

 

Бэкдор SYNful knock позволяет подменять операционную систему маршрутизаторов Cisco

Автор: admin от 17-09-2015, 14:03, посмотрело: 286

Исследователи безопасности из принадлежащей FireEye компании Mandiant обнаружили ранее неизвестные атаки на машрутизаторы Cisco, позволяющие злоумышленникам собирать большие объёмы данных и при этом оставаться незаметными для популярных средств защиты.

Бэкдор SYNful knock был обнаружен в 14 маршрутизаторах, расположенных в четырех странах, включая Украину, Филиппины, Мексику и Индию. Закладки поддерживают загружаются каждый раз при включении маршрутизатора.

Бэкдор SYNful knock позволяет подменять операционную систему маршрутизаторов Cisco

В ходе атаки злоумышленники не эксплуатируют какие-либо уязвимости программного обеспечения маршрутизатора, а используют похищенные легитимные учетные данные и стандартные пароли администратора. Бэкдор подменяет образ операционной системы Cisco IOS, на экземпляр, позволяющий осуществлять загрузку функциональных модулей из интернета. Кроме того, бэкдор содержит специальный пароль, позволяющий получать удаленный доступ к устройству через консоль или telnet.

Бэкдор SYNful knock позволяет подменять операционную систему маршрутизаторов Cisco

Функции аутентификации, в которых может использоваться секретный бэкдор-пароль

Бэкдор SYNful knock: Исследователи обнаружили новую атаку на маршрутизаторы Cisco

Модули инициализируется с помощью HTTP (не HTTPS) и специальных TCP-пакетов, отправляемых на интерфейс маршрутизатора.

По словам исследователей из Mandiant обнаружение бэкдора в сети сигнализирует о возможной компрометации различных систем и наличии других закладок. Поскольку маршрутизаторы обычно работают вне периметра защиты межсетевых экранов и других механизмов защиты, бэкдоры для таких устройств особенно опасны. С их помощью злоумышленники могут не только анализировать трафик внутри сети организации, но и инфицировать другие устройства, подключенные к ней.

По данным исследователей, злоумышленники могли использовать маршрутизаторы компаний-жертв для атак на ряд промышленных и правительственных организацией. Среди скомпрометированных устройств Cisco маршрутизаторы 1841, 2811 и 3825, однако бэкдор SYNful knock потенциально может использоваться и для атаки на устройства других производителей.

Атака, обнаруженная экспертами Mandiant, похожа на метод, описанный самими специалистами Cisco в августе текущего года. Тогда компания предупреждала о серии атак, в ходе которых злоумышленники подменяют прошивку ROMMON (ROM Monitor) на вредоносную копию.

Представители Cisco Systems уже подтвердили наличие проблем и опубликовали инструкцию по обнаружению и блокировке атак.

На сегодня все, спасибо за внимание! Не забывайте знакомиться с новыми материалами в первом блоге о корпоративном IaaS.

Источник: Хабрахабр

Категория: Информационная безопасность

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Введите два слова, показанных на изображении: *