Суббота, 18.05.2024, 23:34
Приветствую Вас, Гость | RSS
Меню сайта
Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Главная » 2015 » Сентябрь » 16 » Зафиксирована атака с подстановкой бэкдора в маршрутизаторы Cisco
04:04
Зафиксирована атака с подстановкой бэкдора в маршрутизаторы Cisco
Группа исследователей из специализирующейся на компьютерной безопасности компании FireEye выявила новую вредоносную активность, связанную со скрытой модификации прошивок маршрутизаторов Cisco с внедрением бэкдора SYNful Knock, позволяющего контролировать проходящий через маршрутизатор транзитный трафик и использовать маршрутизатор как точку для проведения атак на внутреннюю сеть. В результате исследования в Сети выявлено 14 поражённых маршрутизаторов, территориально находящихся в Индии, Мексике, Филиппинах и Украине. Известно, что атака производится как минимум на модели Cisco 1841, 2811 и 3825. Для данных моделей атакующими был подготовлен вариант прошивки, содержащий скрытый бэкдор, в обычных условиях никак себя не проявляющий и активируемый при выявления в трафике специально оформленных управляющих пакетов, что существенно затрудняет выявление атакованных устройств. Как правило, для выявления бэкдора требуется анализ дампа прошивки. В качестве наиболее вероятного способа проникновения на маршрутизатор называется подбор типовых паролей или перехват параметров доступа в результате проведения других атак. Бэкдор обладает достаточно широкими возможностями, в том числе позволяет загружать модули, расширяющие его функциональность и позволяющие применять различные виды атак. Для активации модуля на 80 сетевой порт (HTTP) маршрутизатора отправляется специально оформленный TCP SYN-пакет. Модули могут представлять собой как независимые исполняемые блоки кода, так и обработчики различной функциональности Cisco IOS. Например, через подобный модуль реализована возможность входа на маршрутизатор по протоколу telnet с предопределённым злоумышленниками паролем. Бэкдор размещается с внесением изменений в прошивку, что позволяет сохранить его работоспособность после перезагрузки. Компания Cisco подтвердила наличие поражённых устройств и опубликовала сигнатуры (Snort Rule SID:36054) для выявления и блокирования вредоносной активности. Кроме того, отмечено, что в августе был представлен отчёт о выявлении похожих атак, в результате которых злоумышленники осуществляли замену загрузчика Cisco IOS (ROMMON
Просмотров: 176 | Добавил: muge | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email *:
Код *:
Форма входа
Поиск
Календарь
Архив записей
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
    		•