Компания Cisco официально предупреждает своих пользователей о сериях атак, в ходе которых хакеры взламывают сетевое оборудование фирмы, подменяя прошивку ROMMON (ROM Monitor) на вредоносную, собственного производства. При этом уязвимостей в аппаратуре Cisco нет.

Атаки не связаны с какими-либо багами в оборудовании Cisco. Во всех выявленных случаях хакеры использовали настоящие логины и пароли реальных админов. Это указывает на то, что атаки проводились либо с поддержкой изнутри, либо людьми, которые каким-то образом сумели добраться до исключительно важных учетных данных, нужных для обновления и внесения изменений в «железо» Cisco. Каким образом такая информация могла попасть в руки хакеров, компания Cisco не сообщает.

ROMMON – важный компонент собственной операционной системы Cisco — IOS. Данный режим используется администраторами для самых разных задач, среди которых восстановление утерянных паролей, загрузка ПО, а в некоторых случаях даже обеспечение работы самого коммутатора.

Официальное сообщение компании гласит:

«Во всех случаях, обнаруженных Cisco, атакующие получили доступ к оборудованию, используя легальные, существующие учетные данные администраторов. Затем, с помощью ROMMON, они инициировали процесс апгрейда, заменяя ROMMON на вредоносную модификацию. Как только вредоносная версия установлена, и произведена перезагрузка IOS-устройства, атакующие получают возможность манипулировать поведением устройства.

Для данных атак не использовались никакие уязвимости в продуктах Cisco, атакующим требовались либо настоящие логины и пароли, либо физический доступ к системе. Возможность установки апгрейдов ROMMON на IOS-устройствах – стандартная, задокументированная функция, которую администраторы используют для управления сетями. Данной проблеме не будет присвоен CVE ID».

Фото: rnddave@flickr

Оставить мнение