Рекомендуем, 2019

Выбор редакции

Cisco предупреждает клиентов об атаках, устанавливающих прошивку жулика на сетевом оборудовании

Установка прошивки изгоев на встроенных устройствах давно вызывает озабоченность у исследователей безопасности, и похоже, что такие атаки начали набирать обороты с хакерами.

В ходе консультативного вторника Cisco Systems предупредила клиентов, что она знает ограниченное число случаев, когда злоумышленники заменили загрузочную прошивку на устройствах, работающих под управлением операционной системы IOS. IOS работает на большинстве маршрутизаторов и коммутаторов Cisco и предоставляет сложный набор сетевых инструментов и функций.

Атакующие использовали действительные учетные данные администратора, чтобы заменить образ ROMMON на устройствах IOS, сказал Cisco.

[далее] ящики для потоковой передачи и резервного копирования мультимедиа]

ROMMON или ROM Monitor - это низкоуровневая прошивка, ответственная за инициализацию аппаратного обеспечения и загрузку IOS. Это означает, что атака эквивалентна замене BIOS или UEFI (Unified Extensible Firmware Interface) на ПК со вредоносной версией.

«В этой атаке не используется уязвимость продукта, и злоумышленник требует действительных административных учетных данных или физического доступа к которая будет успешной », - говорится в заявлении Cisco. «Возможность установки обновленного образа ROMMON на устройствах IOS является стандартной документированной функцией, которую администраторы используют для управления своими сетями».

Неясно, как злоумышленники получили административные учетные данные, используемые в компрометации ROMMON, которые видели Cisco, но это должно служить предупреждением для компаний с оборудованием IOS, которые являются сетевыми администраторами.

Для злоумышленников преимущество установки вредоносного образа ROMMON на устройстве заключается в том, что он делает компромиссы стойкими, поскольку типичные инфекции IOS не выживают между перезагрузками.

Исследователи уже давно указали на риск нападения злоумышленников на прошивку прошивки на встроенных устройствах в отсутствие защиты, такой как зашифрованные и подписанные цифровой подписью обновления. Тем не менее, реальные атаки с использованием этого метода были редки до сих пор.

Cisco впервые представила функцию проверки цифровой подписи программного обеспечения в IOS Software Release 15.0 (1) M для маршрутизаторов Cisco 1900, 2900 и 3900, а также в IOS XE Release 3.1.0SG для коммутаторов серии Cisco Catalyst 4500.

Предотвращение, обнаружение и устранение компрометаций устройств Cisco IOS, команда реагирования на инциденты безопасности продукта компании советует клиентам следовать рекомендациям, изложенным в трех документах: Cisco IOS Software Integrity Assurance, Cisco Руководство по обучению устройств IOS и мониторинга целостности устройств на основе телеметрической инфраструктуры.

Top