Secuestran red de Cisco modificando Firmware

Cisco habló sobre los atacantes que permitieron potencialmente el acceso indefinido a un dispositivo Cisco IOS. Después de tener acceso, los atacantes reemplazaron el IOS ROMMON con una imagen ROMMON malintencionada.

Cisco emitió una advertencia oficial acerca de los ataques, los cuales resultaron en la obtención y potencialmente conservación del acceso administrativo al sistema operativo IOS de ciertos dispositivos Cisco por tiempo indefinido.

“Cisco ha observado un número limitado de casos donde atacantes, después de obtener acceso administrativo o físico al Cisco IOS de un dispositivo, remplazaron el Cisco IOS ROMMON (el Bootstrap de IOS, es decir, la comprobación de hardware) con una imagen de ROMMON maliciosa,” explica el comunicado.

“En todos los casos vistos por Cisco, los atacantes tuvieron acceso a los dispositivos usando credenciales administrativas válidas y luego usaron el proceso de actualización de campo de ROMMON para instalar el ROMMON malicioso. Una vez que el ROMMON fue instalado y el dispositivo IOS reiniciado, el atacante fue capaz de manipular el comportamiento del dispositivo. Utilizar un ROMMON malicioso provee a los atacantes una ventaja adicional ya que la infección será persistente a través del reinicio.”

El problema con la detención de estos ataque es que Cisco no puede eliminar la función de instalación de una imagen actualizada del ROMMON en dispositivos IOS, ya que los administradores usualmente utilizan esta característica para llevar a cabo diversas tareas.

La intrusión fue claramente realizada por atacantes relativamente sofisticados, no sólo tienen que averiguar las credenciales administrativas válidas necesarias (sigue sin saberse cómo), sino que también son capaces de crear una imagen ROMMON maliciosa.

Cisco recomienda a los administradores revisar la información con la intención de prevenir y detectar este ataque u otros, así como para remediar posibles afectaciones a dispositivos IOS de Cisco especificados en los documentos vinculados en el comunicado.

Ver informacion original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2439

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies