Problém s malwarem v routerech Cisco je mnohem závažnější

23. 9. 2015

Sdílet

 Autor: © Gunnar Assmy - Fotolia.com
Útočníci nainstalovali škodlivý firmware na nejméně dvě stovky směrovačů firmy Cisco, užívaných firmami ve více než třiceti zemích.

Tvrdí to analýza skupiny Shadowserver Foundation, zabývající se bojem proti kyberkriminalitě a sledující nekalé aktivity na internetu. Na útoky upozornila minulé úterý Mandiant, dceřiná společnost firmy FireEye, s tím, že útočníci nahradili firmware na routerech ISR společnosti Cisco Systems.

Tato modifikace jim poté umožňuje trvalý přístup takzvanými zadními vrátky do systému a dává možnost instalovat do něj malwarové moduly.

Ještě minulý týden mělo být takto napadených routerů čtrnáct, ve čtyřech zemích – v Mexiku, na Ukrajině, v Indii a na Filipínách, přičemž se jednalo o modely Cisco 1841, 2811 a 3825, jež se ale dnes už neprodávají.

Cisco proto ve spolupráci s dobrovolníky ze Shadowserver provedlo scan, který měl odhalit další potenciálně napadená zařízení. A podezření se potvrdila.

Routerů napadených skrze zadní vrátka malwarovou modifikací nazvanou SYNful Knock bylo daleko víc než čtrnáct. Scan nalezl dalších 199 unikátních IP adres v 31 zemích, které vykazovaly známky napadení. Nejvíc – 65 – jich je z USA, 12 z Indie a 11 z Ruska.

„Je důležité upozornit na závažnost tohoto problému. Odhalení a opravení napadených routerů by mělo být top prioritou,“ uvádí Shadowserver ve své zprávě s tím, že dotčené provozovatele bude o výsledcích svých zjištění brzy postupně informovat.

bitcoin_skoleni

Ovládnutím routerů totiž útočníci získají přístup a možnost upravování síťového provozu a mohou tak uživatele přesměrovávat na požadované webové stránky anebo páchat další škody na zařízeních v rámci lokální sítě, která by byla z internetu jinak nepřístupná.

A jelikož zařízení, na která autoři SYNful Knock útočí, jsou zpravidla profesionální routery užívané firmami nebo poskytovateli internetového připojení, dopad útoku může pocítit značné množství uživatelů.