Компания Cisco официально предупреждает своих пользователей о сериях атак, в ходе которых хакеры взламывают сетевое оборудование фирмы, подменяя прошивку ROMMON (ROM Monitor) на вредоносную, собственного производства. При этом уязвимостей в аппаратуре Cisco нет.
Атаки не связаны с какими-либо багами в оборудовании Cisco. Во всех выявленных случаях хакеры использовали настоящие логины и пароли реальных админов. Это указывает на то, что атаки проводились либо с поддержкой изнутри, либо людьми, которые каким-то образом сумели добраться до исключительно важных учетных данных, нужных для обновления и внесения изменений в «железо» Cisco.
ROMMON – важный компонент собственной операционной системы Cisco — IOS. Данный режим используется администраторами для самых разных задач, среди которых восстановление утерянных паролей, загрузка ПО, а в некоторых случаях даже обеспечение работы самого коммутатора.
«Во всех случаях, обнаруженных Cisco, атакующие получили доступ к оборудованию, используя легальные, существующие учетные данные администраторов. Затем, с помощью ROMMON, они инициировали процесс апгрейда, заменяя ROMMON на вредоносную модификацию. Как только вредоносная версия установлена, и произведена перезагрузка IOS-устройства, атакующие получают возможность манипулировать поведением устройства», − гласит официальное сообщении компании.
Горячие темы