15 sept 2015

SYNful Knock: Routers Cisco comprometidos con "implantes"

Investigadores aseguran haber detectado ataques en los routers que dirigen buena parte del tráfico de Internet que podrían haber servido para interceptar y cosechar ingentes cantidades de datos. Este ataque fue denominada SYNful Knock.

SYNful Knock es una modificación sigilosa de la imagen del firmware del router y puede utilizarse para mantener la persistencia dentro de la red de la víctima. Es personalizable y modular y, una vez implantado, puede actualizarse automáticamente. La presencia de esta puerta trasera puede ser difícil de detectar ya que utiliza paquetes no estándares como una forma de pseudo-autenticación.

En los ataques se habría introducido software malicioso en routers fabricados por la multinacional Cisco y que se utilizan tanto por grandes empresas como por administraciones públicas, lo que comprometería la integridad de los datos que pasan por ellos. Los routers comprometidos son los modelos Cisco 184, Cisco 2811 y Cisco 3825 router y la empresa Mandiant pudo confirmar la existencia de al menos 14 routers de este tipo implementados en cuatro países: India, Filipinas, México y Ucrania.

El "implante" consiste en una imagen de sistema operativo Cisco IOS modificado y que permite que el atacante cargue diferentes módulos funcionales desde Internet. El implante también ofrece acceso sin restricciones mediante una contraseña secreta (backdoor). Cada uno de los módulos se habilitan mediante HTTP (no HTTPS), usando un paquete TCP diseñado específicamente y enviado a la interfaz de los routers. Los módulos pueden manifestarse como código ejecutable dentro de los routers, proporcionan funcionalidad al atacante y acceso a través de la consola y Telnet.
"Si te haces con el control del router, te haces con el control de los datos de todas las compañías y organizaciones gubernamentales que se sitúan detrás de ese router", explica el Director Ejecutivo de la compañía de seguridad FireEye, Daev DeWalt, y que ha destapado el escándalo.

"Es la herramienta de espionaje corporativo definitivo", añade DeWalt, que confirma que los ataques han tenido por objetivo múltiples industrias y agencias gubernamentales.

Cisco ha confirmado por su parte que alertó a sus clientes de los ataques en agosto y ha explicado que no se produjeron por una vulnerabilidad de su software, sino que se han producido porque las empresas que usan sus sistemas no han guardado con suficiente celo las credenciales de acceso a los routers. "Hemos compartido con nuestros clientes algunas recomendaciones para que puedan hacer más resistente sus redes y puedan prever y remediar este tipo de ataque", ha añadido Cisco.

Los detalles del ataque están incluidos en el informe SYNful Knock de FireEye.

Actualización: ZMAP ha escaneando todo el rango IPv4 en busca de routers Cisco troyanizados mediante SYNful Knock

Fuente: FireEye

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!