Компания Cisco официально предупреждает своих пользователей о сериях атак, в ходе которых хакеры взламывают сетевое оборудование фирмы, подменяя прошивку ROMMON (ROM Monitor) на вредоносную, собственного производства. При этом уязвимостей в аппаратуре Cisco нет.
Атаки не связаны с какими-либо багами в оборудовании Cisco. Во всех выявленных случаях хакеры использовали настоящие логины и пароли реальных админов. Это указывает на то, что атаки проводились либо с поддержкой изнутри, либо людьми, которые каким-то образом сумели добраться до исключительно важных учетных данных, нужных для обновления и внесения изменений в «железо» Cisco. Каким образом такая информация могла попасть в руки хакеров, компания Cisco не сообщает.
ROMMON – важный компонент собственной операционной системы Cisco — IOS. Данный режим используется администраторами для самых разных задач, среди которых восстановление утерянных паролей, загрузка ПО, а в некоторых случаях даже обеспечение работы самого коммутатора.
Официальное сообщение компании гласит:
Для данных атак не использовались никакие уязвимости в продуктах Cisco, атакующим требовались либо настоящие логины и пароли, либо физический доступ к системе. Возможность установки апгрейдов ROMMON на IOS-устройствах – стандартная, задокументированная функция, которую администраторы используют для управления сетями. Данной проблеме не будет присвоен CVE ID».
Фото: rnddave@flickr