Llegamos a ustedes gracias a:



Alertas de Seguridad

Atacantes pueden tomar control de los routers de Cisco

Aunque también hay otros routers en riesgo

[17/09/2015] Atacantes han infectado con éxito routers Cisco con un ataque que persiste para proporcionar un medio para poner en peligro otras máquinas y datos en las redes que los routers sirven, afirma FireEye.

El ataque SYNful Knock implantó con éxito versiones alteradas del firmware en 14 routers de Cisco en India, México, Filipinas y Ucrania, según FireEye, que le da acceso total a los dispositivos, y los investigadores esperan que aparezcan más máquinas comprometidas en más lugares y en otras marcas de routers.

SYNful Knock descarga módulos de software para personalizar otros ataques y se ha encontrado en los routers Cisco 1841, 2811 y 3825. Inicialmente el ataque solicita o un acceso físico a los routers o contraseñas válidas; no hay una vulnerabilidad de software que sea explotada, señala FireEye en un blog.

Pero el ataque es agnóstico en cuanto al proveedor, lo que significa que sería igual de efectivo en cualquier router hecho por cualquier otro fabricante. "Debería ser evidente ahora que este vector de ataque es una realidad y lo más probable es que crezca en popularidad y prevalencia, señala FireEye.

Los ataques comienzan ganando acceso mediante el uso de credenciales válidas -quizás contraseñas por defecto que no fueron cambiadas-, y luego instalando los implantes que modifican los sistemas operativos IOS de los routers. Los implantes dan a los atacantes un medio alternativo de acceso a las máquinas ya comprometidas, para su posterior explotación, dice FireEye.

Esa explotación incluye la descarga de actualizaciones.

La Seguridad ante todo

El blog de Cisco recomienda medidas para la seguridad del router:

  • Fortalecer los dispositivos utilizando la guía de Cisco para fortalecer dispositivos IOS de Cisco.
  • Instrumentar redes para monitorear la integridad de los dispositivos.
  • Establecer una línea de base para los dispositivos para asegurar los procedimientos de operación.
  • Analizar las desviaciones de la línea de base.

Detectar a SYNful Knock puede ser difícil porque una vez que se hace la entrada inicial, utiliza paquetes no estándar como medio de autenticación en la puerta trasera, anota FireEye.

"Esta puerta trasera ofrece una amplia capacidad para que el atacante propague y comprometa otros hosts y datos críticos utilizando esto como una cabeza de playa muy furtiva, señala el blog.

Cisco reconoce los ataques y recomienda medidas para detectar y mitigar estos ataques. "SYNful Knock es un tipo de malware persistente que permite a un atacante hacerse con el control de un dispositivo afectado y comprometer su integridad con una imagen modificada del software IOS de Cisco, afirmó Cisco en una entrada de blog.

El software está diseñado para ocultar bien su presencia, indica FireEye. "Para evitar que el tamaño de la imagen cambie, el malware sobrescribe varias funciones IOS legítimas con su propio código ejecutable. Los atacantes examinarán la funcionalidad actual del router y determinarán las funciones que se pueden sobrescribir sin causar problemas en el router, señala la entrada.