Has 2b2t Been Backdoored?
Замена прошивки маршрутизатора на отравленные версии уже не просто теоретический риск. Исследователи из Mandiant обнаружили реальную атаку, в которой установлены встроенные микропрограммы на бизнес-маршрутизаторах в четырех странах.
Имплантат роутера, получивший название SYNful Knock, предоставляет злоумышленникам высокоприоритетный бэкдор-доступ к затронутым устройствам и сохраняется даже при перезагрузках. Это отличается от типичной вредоносной программы, обнаруженной на потребительских маршрутизаторах, которая удаляется из памяти при перезапуске устройства.
SYNful Knock - это модификация операционной системы IOS, которая работает на профессиональных маршрутизаторах и коммутаторах, выпущенных Cisco Systems. До сих пор он был обнаружен исследователями Mandiant на маршрутизаторах с интегрированными услугами Cisco 1841, 8211 и 3825, которые обычно используются предприятиями в своих филиалах или поставщиками управляемых сетевых сервисов.
[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]Компания Mandiant, дочерняя компания кибербезопасности FireEye, специализирующаяся на оказании услуг реагирования на инциденты, увидела прошивку изгоев на 14 маршрутизаторах в Мексике, Украине, Индии и на Филиппинах.
Модели подтвердили, что они пострадали больше не продаются Cisco, но нет никакой гарантии, что новые модели не будут нацелены в будущем или еще не были.
Cisco опубликовала в августе предупреждение о безопасности, предупреждающее клиентов о новых атаках, которые устанавливают прошивку изгоев на маршрутизаторах, сделанных компанией.
В случаях, исследованных Mandiant, имплантат SYNful Knock не был развернут с помощью уязвимости, но, скорее всего, с помощью дефолтных или украденных административных учетных данных. Изменения, внесенные в образ прошивки, были сделаны специально, чтобы сохранить его размер, идентичный размеру оригинала.
Прошивка мошенника реализует пароль бэкдор для привилегированного доступа Telnet и консоли, а также прослушивает команды, содержащиеся в специально созданных TCP SYN пакеты - отсюда имя SYNful Knock.
Обычная процедура «стучать» может использоваться, чтобы проинструктировать прошивку изгоев, чтобы вставлять дополнительные вредоносные модули в память маршрутизатора. В отличие от пароля backdoor, эти модули не являются постоянными при перезагрузке устройств.
Компромиссы с маршрутизатором очень опасны, поскольку они дают злоумышленникам возможность обнюхивать и изменять сетевой трафик, направлять пользователей на поддельные веб-сайты и запускать другие атаки на устройства, серверы и компьютеры, расположенные в изолированных сетях.
Маршрутизаторы обычно не получают такого же уровня внимания безопасности, как рабочие станции или серверы приложений, на которые компании фактически ожидают нападения. Они не защищены брандмауэрами и не имеют на них антивирусных продуктов.
«Поиск бэкдоров внутри вашей сети может быть сложной задачей; нахождение имплантата роутера, тем более », - заявили во вторник журналисты службы безопасности Mandiant. «Этот бэкдор предоставляет широкие возможности для злоумышленника распространять и компрометировать другие хосты и критически важные данные, используя это как очень скрытую плацдарм».
В белой работе Mandiant представлены показатели компромисса, которые могут быть использованы для обнаружения имплантатов SYNful Knock, как локально на маршрутизаторах и на уровне сети.
«Теперь должно быть очевидно, что этот вектор атаки очень реальный и, скорее всего, будет расти в популярности и распространенности», - предупредили исследователи.
Атакующие брандмауэры, backdoored прошивки на маршрутизаторы Cisco
![Атакующие брандмауэры, backdoored прошивки на маршрутизаторы Cisco Атакующие брандмауэры, backdoored прошивки на маршрутизаторы Cisco](https://i.joecomp.com/img/security-2018/attackers-slip-rogue-backdoored-firmware-onto-cisco-routers.jpg)
Исследователи обнаружили атаку, которая установила прошивку изгоев на бизнес-маршрутизаторах в четырех странах.
Недостатки раскрывают маршрутизаторы Cisco малого бизнеса, брандмауэры для взлома
![Недостатки раскрывают маршрутизаторы Cisco малого бизнеса, брандмауэры для взлома Недостатки раскрывают маршрутизаторы Cisco малого бизнеса, брандмауэры для взлома](https://i.joecomp.com/img/security-2018/flaws-expose-cisco-small-business-routers-firewalls-to-hacking.jpg)
Три модели беспроводных VPN-брандмауэров и маршрутизаторов Cisco от малого бизнеса серии RV содержат критическую незащищенную уязвимость, которую злоумышленники могут использовать удаленно для управления устройствами.