Компания Cisco официально предупреждает своих пользователей о сериях атак, в ходе которых хакеры взламывают сетевое оборудование фирмы, подменяя прошивку ROMMON (ROM Monitor) на вредоносную, собственного производства. При этом уязвимостей в аппаратуре Cisco нет.

Атаки не связаны с какими-либо багами в оборудовании Cisco. Во всех выявленных случаях хакеры использовали настоящие логины и пароли реальных админов. Это указывает на то, что атаки проводились либо с поддержкой изнутри, либо людьми, которые каким-то образом сумели добраться до исключительно важных учетных данных, нужных для обновления и внесения изменений в «железо» Cisco. 

ROMMON – важный компонент собственной операционной системы Cisco — IOS. Данный режим используется администраторами для самых разных задач, среди которых восстановление утерянных паролей, загрузка ПО, а в некоторых случаях даже обеспечение работы самого коммутатора.

 «Во всех случаях, обнаруженных Cisco, атакующие получили доступ к оборудованию, используя легальные, существующие учетные данные администраторов. Затем, с помощью ROMMON, они инициировали процесс апгрейда, заменяя ROMMON на вредоносную модификацию. Как только вредоносная версия установлена, и произведена перезагрузка IOS-устройства, атакующие получают возможность манипулировать поведением устройства», − гласит официальное сообщении компании.

Источник