Napadi od strane modifikovanih Cisco rutera
Istraživači iz Mandiant-a su primjetili više Cisco-vih rutera na koje su napadači podmetnuli zaražen firmver koji im omogućava pristup mrežama napadnutih organizacija.
IOS, operativni sistem većine Cisco-vih uređaja, za inicijalizaciju hardvera prilikom uključivanja koristi ROM Monitor (ROMMON) program. Cisco je izdao upozorenje da su napadači koristeći legitimne servise za ažuriranje
ROMMON-a, usjeli da podmetnu malicizni softver na uređaje. Modifikacija omogućava napadačima nesmetan pristup mreži.
Napad na ove uređaje ne uključuje eksplataciju ranjivosti. Napadači su modfikovali firmver koršćenjem ukradenih kredencijala ili fizičkim pristupom uređajima.
Ovim napadom su pogođeni Cisco 1841, 2811, 3825 ruteri. Ovi ruteri se više ne mogu naći u slobodnoj prodaji, ali se i dalje koriste.
Kao preventivno djelovanje preporučuje se :
- Ojačavanje mrežnih uređaja (Hardening).
- Udaljeno praćanje integrita softvera na mrežnim uređajima.
- Utvrđivanje standardnog ponašanja.
- Analizu odstupanja od standardnog ponašanja.
Izvor:www.securityweek.com