Cisco-Router von Angreifern mit falscher Firmware infiziert

SicherheitSicherheitsmanagement
Cisco Router (Bild: Cisco)

Die Malware SYNful Knock nutzt eine Lücke, vor der Cisco bereits im August gewarnt hatte. Jetzt hat Fireeye jedoch entdeckt, dass die Schwachstelle tatsächlich für Angriffe verwendet wird. Der Angriff sei schwierig zu entdecken und verschaffe den Angreifern umfassenden Zugriff auf das Netzwerk.

Cisco hat bereits im August vor einer Sicherheitslücke in seinen Routern gewarnt. Der Hinweis erregt aber erst jetzt größeres Interesse, nachdem Fireeye von 14 tatsächlich darüber angegriffenen Geräten berichtet hat. Betroffene Kunden sind von Cisco offenbar schon informiert worden. Bislang konnte Fireeye die modifizierten Betriebssystem-Images auf den Cisco-Router-Modellen 1841, 2811 und 3825 aufspüren. Es könnten jedoch auch weitere Modelle betroffen sein, so Fireeye.

In allen Cisco bislang bekannten Fällen nutzten die Angreifer gültige Anmeldedaten von Administratoren und spielten dann die falsche Software über den ROMMON-Upgrade-Prozess ein. Betroffene müssen sich also auch fragen lassen, wie die Angreifer in den Besitz der Anmeldedaten kamen oder ob entgegen allen Empfehlungen Default-Einstellungen weiterverwendet wurden.

cisco (Bild: Cisco)

Durch den Angriff auf die Firmware können Angreifer uneingeschränkten Zugriff auf ein Netzwerk erhalten. Den üben sie laut Cisco dann über ein Passwort-geschützte Backdoor aus.

Angriffe auf Firmware wurden bislang als eher theoretisch mögliches Szenario eingestuft. Die praktische Umsetzung eines Exploits galt als eher unwahrscheinlich. Laut Sicherheitsanbieter FireEye hat die hauseigene Beratungsabteilung Mandiant nun aber mindestens 14 Router mit dem mit SYNful Knock modifizierten Betriebssystem entdeckt. Die Router seien in der Ukraine, den Philippinen, in Mexico und in Indien angegriffen worden. Es sei jedoch sehr wahrscheinlich, dass noch weitere Router betroffen sind, die bislang lediglich noch nicht entdeckt wurden.

Fireeye Logo (Grafik: Fireeye)

Dies sei aufgrund der Kommunikationsstruktur relativ schwierig heißt es im Fireeye-Advisory. “Es kann schwierig sein, ein Backdoor zu entdecken, da häufig nicht-standardisierte Pakete als eine Art Pseudo-Authentifizierung verwendet werden”, so Fireeye weiter. “Selbst das Aufspüren einer Backdoor im eigenen Netzwerk kann eine Herausforderung sein, für ein Router-Implantat gilt das umso mehr.” Allerdings seien die Folgen einer solchen Entdeckung schwerwiegend und es sei dann sehr wahrscheinlich, dass auch weitere Malware oder kompromittierte Systeme vorhanden sind.

Die Malware SYNful Knock lasse sich anpassen und könne remote aktualisiert werden, so Fireeye. Weil er als Firmware auf dem Router gespeichert ist, bleibt der Schädling auch nach einem Neustart aktiv. Weitere modifizierte Module sind laut Fireeye im volatilen Speicher der Geräte abgelegt und lassen sich mit einem Hard Reset vom Gerät löschen. Ob es weitere Module gibt, lässt sich jedoch alleine durch einen Core-Dump des Router-Images herausfinden.

[mit Material von Martin Schindler, silicon.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen