Investigadores de FireEye han descubierto un ataque llevado a cabo en diversos países contra routers Cisco. Los atacantes reemplazaban la imagen IOS de los routers provocando que el malware se cargue en memoria a cada arranque. Cisco ya ha lanzado información para detectar este tipo de ataque e identificar los dispositivos afectados.
El malware, conocido como SYNful knock, ha sido encontrado por FireEye en almenos 14 routers en diferentes países como Ucrania, México o la India y los mismos investigadores lo califican como altamente sofisticado y únicamente al alcance de grupos subvencionados por estados. Como comentábamos el ataque se basa en el reemplazo de la imagen IOS del router, con lo cual se carga el malware a cada arranque del router que es a su vez capaz de cargar diferentes módulos dependiendo del objetivo a atacar. De esta manera los atacantes consiguen un base difícilmente detectable para atacar al resto de la red ya que los routers suelen estar fuera de la defensa perimetral de la red, además de poder monitorizar el tráfico entrante y saliente de la red.
La detección de esta amenaza por lo general se identifica con otras vulnerabilidades en la red, ya que al parecer este ataque no se debe a una vulnerabilidad en el propio router sino al aprovechamiento por parte de los atacantes de claves por defecto en los routers que pueden aprovechar después de conseguir acceso a otros dispositivos en la red. El malware activa un backdoor con el que el atacante puede acceder al router a través de telnet o consola.
Cisco que ha trabajado conjuntamente con FireEye ha confirmado los ataques y ha publicado las firmas para poder bloquear estos ataques. Por el momento se han identificado los modelos Cisco 1841, 2811 y 3825 como afectados, aunque otros modelos similares podrían ser también víctimas del mismo tipo de ataque. De la misma manera se han publicado comandos que los administradores podemos ejecutar para identificar si nuestros routers han sido comprometidos.
