Cisco: Angreifer hacken offenbar Router-Firmware

CyberkriminalitätSicherheit
Cisco (Bild: Cisco)

Die Angreifer verwendeten eine dokumentierte Updatefunktion, um ein manipuliertes Firmware-Image einzuschleusen. In den Cisco bekannten Fällen besaßen sie gültige Zugangsdaten für einen Router oder Switch. Unternehmensangaben zufolge handelt es sich dabei aber nicht um ein Sicherheitsleck.

Cisco hat in einem Security Advisory vor Attacken auf die Firmware seiner Router und Switches gewarnt. Hackern ist es demnach gelungen, die Boot-Firmware von Netzwerkgeräten, auf denen Ciscos IOS-Betriebssystem (Internetwork Operating System) läuft, durch eine eigene speziell präparierte Version zu ersetzen. Die Angreifer besaßen offenbar gültige Zugangsdaten für die Geräte, wie Computerworld berichtet.

Laut dem Bericht initialisiert die als ROMMON respektive ROM Monitor bezeichnete Firmware die Hardware und bootet im Anschluss das IOS-Betriebssystem. Die Attacke entspricht folglich einem Austausch des BIOS oder Unified Extensible Firmware Interface (UEFI) eines PCs durch eine speziell präparierte Version.

Ein manipuliertes ROMMON-Image kann einen Cisco-Router oder einen Cisco-Switch ähnlich wie ein Rootkit dauerhaft kompromittieren. Typische IOS-Infektionen überdauerten einen Neustart dagegen nicht, erklärt Computerworld.

Cisco hebt hierbei jedoch hervor, dass bei der Attacke kein Sicherheitsleck ausgenutzt wird. Um die Firmware zu manipulieren, brauche ein Angreifer entweder gültige Zugangsdaten eines Administrators oder aber einen direkten physischen Zugang zu einem Router oder Switch. “Die Möglichkeit, ein neues ROMMON-Image auf IOS-Geräten zu installieren, ist eine dokumentierte Standardfunktion, die Administratoren für die Verwaltung ihrer Netzwerke nutzen”, schreibt Cisco.

Wie die Angreifer allerdings an die Anmeldedaten gelangt sind, teilt Cisco nicht mit. “Es sollte eine Warnung für Firmen mit IOS-Geräten sein, dass Netzwerkadministratoren ein Ziel sind”, kommentiert Computerworld. Da es sich Cisco zufolge ja um kein Sicherheitsleck handelt, hat das Unternehmen dementsprechend auch keinen Patch angekündigt. Stattdessen verweist es in seinem Advisory auf drei Whitepaper, die Anwendern helfen sollen, Angriffe auf IOS-Geräte zu erkennen und auch zu verhindern.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen