Атакующие брандмауэры, backdoored прошивки на маршрутизаторы Cisco

Замена прошивки маршрутизатора на отравленные версии уже не просто теоретический риск. Исследователи из Mandiant обнаружили реальную атаку, в которой установлены встроенные микропрограммы на бизнес-маршрутизаторах в четырех странах.

Имплантат роутера, получивший название SYNful Knock, предоставляет злоумышленникам высокоприоритетный бэкдор-доступ к затронутым устройствам и сохраняется даже при перезагрузках. Это отличается от типичной вредоносной программы, обнаруженной на потребительских маршрутизаторах, которая удаляется из памяти при перезапуске устройства.

SYNful Knock - это модификация операционной системы IOS, которая работает на профессиональных маршрутизаторах и коммутаторах, выпущенных Cisco Systems. До сих пор он был обнаружен исследователями Mandiant на маршрутизаторах с интегрированными услугами Cisco 1841, 8211 и 3825, которые обычно используются предприятиями в своих филиалах или поставщиками управляемых сетевых сервисов.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Компания Mandiant, дочерняя компания кибербезопасности FireEye, специализирующаяся на оказании услуг реагирования на инциденты, увидела прошивку изгоев на 14 маршрутизаторах в Мексике, Украине, Индии и на Филиппинах.

Модели подтвердили, что они пострадали больше не продаются Cisco, но нет никакой гарантии, что новые модели не будут нацелены в будущем или еще не были.

Cisco опубликовала в августе предупреждение о безопасности, предупреждающее клиентов о новых атаках, которые устанавливают прошивку изгоев на маршрутизаторах, сделанных компанией.

В случаях, исследованных Mandiant, имплантат SYNful Knock не был развернут с помощью уязвимости, но, скорее всего, с помощью дефолтных или украденных административных учетных данных. Изменения, внесенные в образ прошивки, были сделаны специально, чтобы сохранить его размер, идентичный размеру оригинала.

Прошивка мошенника реализует пароль бэкдор для привилегированного доступа Telnet и консоли, а также прослушивает команды, содержащиеся в специально созданных TCP SYN пакеты - отсюда имя SYNful Knock.

Обычная процедура «стучать» может использоваться, чтобы проинструктировать прошивку изгоев, чтобы вставлять дополнительные вредоносные модули в память маршрутизатора. В отличие от пароля backdoor, эти модули не являются постоянными при перезагрузке устройств.

Компромиссы с маршрутизатором очень опасны, поскольку они дают злоумышленникам возможность обнюхивать и изменять сетевой трафик, направлять пользователей на поддельные веб-сайты и запускать другие атаки на устройства, серверы и компьютеры, расположенные в изолированных сетях.

Маршрутизаторы обычно не получают такого же уровня внимания безопасности, как рабочие станции или серверы приложений, на которые компании фактически ожидают нападения. Они не защищены брандмауэрами и не имеют на них антивирусных продуктов.

«Поиск бэкдоров внутри вашей сети может быть сложной задачей; нахождение имплантата роутера, тем более », - заявили во вторник журналисты службы безопасности Mandiant. «Этот бэкдор предоставляет широкие возможности для злоумышленника распространять и компрометировать другие хосты и критически важные данные, используя это как очень скрытую плацдарм».

В белой работе Mandiant представлены показатели компромисса, которые могут быть использованы для обнаружения имплантатов SYNful Knock, как локально на маршрутизаторах и на уровне сети.

«Теперь должно быть очевидно, что этот вектор атаки очень реальный и, скорее всего, будет расти в популярности и распространенности», - предупредили исследователи.