Aanvallers laten malafide, backdoored-firmware achter op Cisco-routers

Het vervangen van de routerfirmware door vergiftigde versies is niet langer alleen maar een theoretisch risico. Onderzoekers van Mandiant hebben een echte aanval gedetecteerd waarbij malafide firmware is geïnstalleerd in zakelijke routers in vier landen.

De routerimplantatie, genaamd SYNful Knock, biedt aanvallers uiterst geprivilegieerde toegang via de achterdeur tot de getroffen apparaten en blijft zelfs over opnieuw opstarten bestaan. Dit is anders dan de gebruikelijke malware die wordt aangetroffen op consumentenrouters en die wordt gewist uit het geheugen wanneer het apparaat opnieuw wordt opgestart.

SYNful Knock is een aanpassing van het IOS-besturingssysteem dat wordt uitgevoerd op professionele routers en switches van Cisco Systems. Tot dusverre werd door Mandiant-onderzoekers gevonden op Cisco 1841, 8211 en 3825 "routers voor geïntegreerde services", die meestal worden gebruikt door bedrijven in hun filialen of door aanbieders van beheerde netwerkservices.

[Meer informatie: Malware verwijderen vanaf uw Windows-pc]

Mandiant, een dochteronderneming van cybersecurity-bedrijf FireEye dat gespecialiseerd is in incidentresponsdiensten, heeft de frauduleuze firmware gezien op 14 routers in Mexico, Oekraïne, India en de Filippijnen.

De modellen waarvan bevestigd is dat ze zijn getroffen worden niet langer door Cisco verkocht, maar er is geen garantie dat nieuwere modellen in de toekomst niet worden getarget of nog niet zijn.

Cisco publiceerde in augustus een beveiligingsadvies waarin klanten werden gewaarschuwd voor nieuwe aanvallen die bedrieglijke firmware installeren op routers gemaakt door het bedrijf.

In de door Mandiant onderzochte gevallen werd het SYNful Knock-implantaat niet geïmplementeerd via een kwetsbaarheid, maar hoogst waarschijnlijk via standaard of gestolen beheerdersreferenties. De aanpassingen aan de firmwareafbeelding werden specifiek gedaan om de grootte identiek te houden aan de oorspronkelijke grootte.

De frauduleuze firmware implementeert een backdoor-wachtwoord voor bevoorrechte Telnet- en consoletoegang en luistert ook naar opdrachten in specifiek vervaardigd TCP SYN pakketten - vandaar de naam SYNful Knock.

De aangepaste "kloppende" procedure kan worden gebruikt om de bedrieglijke firmware opdracht te geven extra kwaadaardige modules in het geheugen van de router te injecteren. In tegenstelling tot het backdoor-wachtwoord zijn deze modules echter niet persistent bij het opnieuw opstarten van het apparaat.

Routercompromissen zijn zeer gevaarlijk omdat ze aanvallers de mogelijkheid geven om het netwerkverkeer te snuiven en wijzigen, gebruikers naar vervalste websites leiden en andere aanvallen op apparaten, servers en computers bevinden zich in geïsoleerde netwerken.

Routers krijgen meestal niet hetzelfde beveiligingsniveau als werkplekken voor werknemers of applicatieservers waarvan bedrijven verwachten dat ze worden aangevallen. Ze worden niet beschermd door firewalls en hebben geen antimalware-producten die erop worden uitgevoerd.

"Het vinden van backdoors binnen uw netwerk kan een uitdaging zijn; het vinden van een routerimplantaat, en nog meer, "zeiden de Mandiant beveiligingsonderzoekers dinsdag in een blogpost. "Deze achterdeur biedt de aanvaller voldoende mogelijkheden om andere hosts en kritieke gegevens te verspreiden en in gevaar te brengen, en gebruikt dit als een zeer onopvallend bruggehoofd."

Een Mandiant witboek geeft indicatoren van een compromis die kunnen worden gebruikt om SYNful Knock-implantaten te detecteren, beide lokaal op de routers en op netwerkniveau.

"Het zou nu duidelijk moeten zijn dat deze aanvalsvector een realiteit is en waarschijnlijk zal groeien in populariteit en prevalentie," waarschuwen de onderzoekers.