Компания Cisco официально предупреждает своих пользователей о сериях атак, в ходе которых хакеры взламывают сетевое оборудование фирмы.
Злоумышленники подменивают прошивку ROMMON (ROM Monitor) на вредоносную, собственного производства. При этом уязвимостей в аппаратуре Cisco нет. Атаки не связаны с какими-либо багами в оборудовании Cisco. Во всех выявленных случаях хакеры использовали настоящие логины и пароли реальных админов.
Это указывает на то, что атаки проводились либо с поддержкой изнутри, либо людьми, которые каким-то образом сумели добраться до исключительно важных учетных данных, нужных для обновления и внесения изменений в «железо» Cisco. Каким образом такая информация могла попасть в руки хакеров, компания Cisco не сообщает.
ROMMON – важный компонент собственной операционной системы Cisco — IOS. Данный режим используется администраторами для самых разных задач, среди которых восстановление утерянных паролей, загрузка ПО, а в некоторых случаях даже обеспечение безопасности и работы самого коммутатора.
Официальное сообщение компании гласит:
«Во всех случаях, обнаруженных Cisco, атакующие получили доступ к оборудованию, используя легальные, существующие учетные данные администраторов. Затем, с помощью ROMMON, они инициировали процесс апгрейда, заменяя ROMMON на вредоносную модификацию. Как только вредоносная версия установлена, и произведена перезагрузка IOS-устройства, атакующие получают возможность манипулировать поведением устройства.
Для данных атак не использовались никакие уязвимости в продуктах Cisco, атакующим требовались либо настоящие логины и пароли, либо физический доступ к системе. Возможность установки апгрейдов ROMMON на IOS-устройствах – стандартная, задокументированная функция, которую администраторы используют для управления сетями. Данной проблеме не будет присвоен CVE ID».
