Tin tặc thay thế firmware trên bộ định tuyến Cisco

Bộ định tuyến Cisco được sử dụng rộng rãi trong mạng của các doanh nghiệp, khiến chúng trở thành đối tượng tấn công dành cho tin tặc. Các nhà nghiên cứu FireEye đã tìm ra một vài cuộc tấn công mới đây, tin tặc thay đổi firmware bộ định tuyến và biến chúng trở thành nơi duy trì mã độc vững chắc trên mạng của nạn nhân.

Kĩ thuật này cho phép tin tặc có một vị trí theo dõi vô cùng thuận lợi trên mạng của nạn nhân và tiềm tàng khả năng lây nhiễm sang nhiều thiết bị khác. Tin tặc thay đổi IOS image và không hề khai thác lỗ hổng nào mới để xâm nhập bộ định tuyến. Chúng có thể đã lợi dụng tài khoản đăng nhập mặc định hoặc cơ sở dữ liệu rò rỉ khác trên mạng để truy cập vào bộ định tuyến.

Firmware bị sửa đổi sẽ tải nhiều module khác nhau từ mạng ẩn danh trên Internet. Ngoài ra nó còn chứa backdoor bí mật khác. Mỗi module kích hoạt thông qua giao thức HTTP và gói tin TCP gửi qua bộ định tuyến. Các mã sản phẩm bị ảnh hưởng bao gồm bộ định tuyến Cisco 1841, 2811, và d 3825.

Chi tiết về các cuộc tấn công báo cáo bởi FireEye giống với cảnh báo của Cisco gửi tới khách hàng vào tháng trước. Trong tất cả các trường hợp, tin tặc đều truy cập vào thiết bị với một tài khoản quản trị viên khả dụng và sau đó sử dụng trường ROMMON để cài đặt ROMMON độc hại. Sau khi đã cài đặt xong, thiết bị sẽ được khởi động lại và tin tặc kiểm soát hoàn toàn thiết bị.

threatpost