Cisco призналась в массовой атаке на свое оборудование

13/08/2015 11:45

Cisco Systems призналась в том, что зафиксировала серию взломов своих коммутаторов с приприетарной операционной системой Cisco IOS. В ходе этих взломов организаторы атак заменяли штатную прошивку устройств на вредоносную. Компания сообщила об этом на своем официальном сайте. Атаки не связаны с какой-либо уязвимостью в продуктах Cisco и проводятся атакующим либо при физическом контакте с коммутатором, либо дистанционно через администраторский аккаунт с указанием действующих логина и пароля. Обновление прошивки — стандартная документированная функция, которая имеется в упомянутом оборудовании. После замены прошивки атакующий может управлять работой устройства. Преимущество метода заключается в том, что эта возможность сохраняется и после перезагрузки коммутатора, объяснили в Cisco. Вендор обновил техническую документацию к коммутаторам, включив в нее описание атак, методов их предотвращения, обнаружения и устранения последствий. Документация опубликована на официальном сайте производителя. Факт атаки на оборудование Cisco без использования уязвимости впервые генеральный директор специализирующейся на ИБ российской компании Digital Security Илья Медведовский считает первым подтверждением наличия в устройствах Cisco «имплантов» АНБ. «Компания Cisco сама была вынуждена признать факт реального обнаружения у своих клиентов так называемого «импланта» в стиле АНБ, или аппаратного руткита для их сетевого оборудования. Это значит, что описанная в прошлом году в Spiegel АНБ-технология инфицирования оборудования Cisco подобным имплантом реальна, и данный процесс, как и ожидалось, в итоге вышел из-под контроля», — сказал он . Понятие «импланта» или аппаратного руткита использовало АНБ, описывая схему реализации такой атаки, говорит Медведовский. «Подобные технологии невозможно сохранить в тайне, о чем и предупреждали тогда многие эксперты, и теперь она пошла в массы, - продолжил он. - Теперь этой технологией владеет не только спецслужба, но, вероятно, и кибер-злоумышленники, для которых захват оборудования дает широчайшие возможности осуществления разнообразных атак». «Это означает, что в ближайшее время нас ждет вал подобных атак, которые крайне сложно обнаружить из-за чрезвычайно высокой скрытности подобного аппаратного руткита и полного отсутствия антивирусного ПО на маршрутизаторах (которое, правда, в любом случае в принципе никогда не смогло бы его обнаружить, как и любой другой аппаратный руткит)», — заключил Медведовский.
Источник