Проблемы Cisco Systems с маршрутизаторами, микропрограммы которых заражены вредоносным кодом, известным под названием SYNful Knock, продолжают нарастать.
На прошлой неделе Cisco и Mandiant, дочерняя компания производителя средств безопасности FireEye,объявили о том, что 14 маршрутизаторов в четырех странах (Индии, Мексике, Украине и Филиппинах) оказались заражены вредоносным кодом, который способен захватить контроль над оборудованием и предоставить возможность для атак «с черного хода». Благодаря этому атакующие могут установить другой вредоносный код, получить контроль над интернет-трафиком, перенаправить пользователей на другие сайты и производить атаки на иные устройства.
Данный зловред заражает ПО IOS, под управлением которого работают маршрутизаторы Cisco.
Тогда Cisco заявила, что предпринимает шаги, чтобы помочь клиентам избавиться от заражения. Представитель корпорации сообщил, что эти атаки используют не уязвимости, а полученные обманным путем полномочия или физический доступ для установки вредоносного кода на сетевые устройства. «Мы распространили инструкции, как клиенты могут защитить свои сети, предотвратить атаки такого типа, обнаружить их и восстановить положение в случае успешной атаки», — пояснил он.
Однако Cisco вместе со своими партерами и организацией по борьбе с киберпреступностью Shadowserver Foundation продолжила работу в данном направлении. Shadowserver Foundation обнаружила вредоносный код SYNful Knock почти на 200 маршрутизаторах в 31 стране мира. Совместно с Shadowserver компания сканировала Интернет, чтобы уточнить количество зараженных систем.
«Важно подчеркнуть серьезность данной вредоносной активности, — писали 21 сентября представители Shadowserver в блоге своей организации. — В настоящее время Shadowserver считает любую откликающуюся при нашем сканировании машину потенциально взломанной. Выявление и исправление взломанных маршрутизаторов должно стать высшим приоритетом».
Примерно то же самое говорилось в корпоративном блоге компании FireEye 15 сентября, когда она первой сообщила об обнаружении SYNful Knock.
«Если в вашей сети обнаружен данный имплантат, дело обстоит серьезно. Весьма вероятно наличие и других возможностей для атаки или взломанных систем, — писали исследователи. — Этот „черный ход“ предоставляет атакующему широкие возможности для захвата других конечных точек и их взлома, для кражи важнейших данных, используя его в качестве хорошо замаскированного плацдарма».
Представители FireEye сообщили eWeek, что маршрутизаторы Cisco, скорее всего, были выбраны потому, что они широко представлены на рынке. Но оборудование других производителей, вероятно, тоже находится под угрозой.
Заражение произошло во многих странах, от США, Индии и России до Ирана, Вьетнама, Коста-Рики, Нигерии и Барбадоса.
Cisco создала на своем веб-сайте посвященную SYNful Knock страницу и сообщила, какие шаги следует предпринять для предотвращения заражения, начиная с усиления защиты устройств и мониторинга сети и заканчивая определением базового показателя, по отношению к которому анализируются аномалии или отклонения.
Представители Cisco заявили, что на протяжении многих лет они стояли на страже, защищая от атак сетевые устройства и их полномочия, отстаивая необходимость такой защиты. В августе Cisco выпустила бюллетень по вопросам безопасности, посвященный эволюции атак против платформы под управлением Cisco IOS и способам повышения защищенности этих продуктов.
«Учитывая их роль в инфраструктуре клиентов, сетевые устройства являются привлекательной мишенью для создателей угроз и должны быть соответствующим образом защищены, — написал в корпоративном блоге после появления сообщения компании Mandiant менеджер инцидентов с целью изучения безопасности и операций из группы Cisco Product Security Incident Response Team Омар Сантос. — Мы рекомендуем клиентам любых производителей сетевого оборудования включить в число оперативных процедур методы предотвращения и обнаружения взлома».
Представители Shadowserver заявили, что сетевые администраторы должны вести мониторинг сетей с целью обнаружения SYNful Knock, используя нацеленные на выявление вредоносного кода правила Snort. «Это позволит ИТ-специалистам идентифицировать взломанные машины в своих сетях», — утверждают они.