Cisco bestätigt die Möglichkeit von IOS-Rootkits

Auf den Fersen einer EUSecWest-Konferenzdarstellung zu bösartigen Rootkits für Cisco IOS (siehe Hintergrund) hat das Cisco Security Response-Team ein Must-Read-Dokument veröffentlicht, das bestätigt, dass verstohlene Malware auf die Software geladen werden kann, die auf der überwiegenden Mehrheit seiner Router und Netzwerke verwendet wird Schalter.

Cisco warnt

Es ist möglich, dass ein Angreifer schädlichen Code in ein Cisco IOS-Software-Image einfügen und es auf ein Cisco-Gerät laden kann, das dieses Bild unterstützt. Dieses Angriffsszenario könnte auf jedem Gerät auftreten, das eine Form von Software verwendet, und zwar unter den gegebenen Umständen.

Die Bestätigung des Unternehmens folgt einer technischen Diskussion von Sean Bastian Muniz von “Da IOS Rootkit”, was im Grunde genommen eine binäre Änderung des vom Gerät heruntergeladenen IOS-Images ist.

Networking, Cisco kauft Container-Start ContainerX, Innovation, die Tech-Erbe der Rio Olympics, Internet der Dinge, Cisco wird 5.500 Arbeitsplätze in der letzten Umstrukturierung schneiden, Vernetzung, Cisco zu axe bis zu 14.000 Mitarbeiter: Bericht

In diesem Fragebogen erklärt Muniz seine Schöpfung

Das Hauptmerkmal von Da IOS Rootkit ist das universelle Passwort. Jeder Aufruf der verschiedenen Kennwortvalidierungsroutinen gewährt dem Benutzer Zugriff, wenn das eindeutige Rootkit-Kennwort angegeben wird. Dies ist, was in der öffentlichen Veröffentlichung sein wird. Andere Funktionen wie das Ausblenden von Dateien, Prozessen und Verbindungen werden nicht berücksichtigt. Der Kern des Rootkit-Codes wird anstelle der Assembly in einfachem C geschrieben. Es geht nicht weiter durch Upgrades, aber zukünftige Versionen wahrscheinlich.

Ich habe nicht auf Katalysatorschalter geprüft, weil sie CatOS laufen lassen, das ein unterschiedliches als IOS. Der Rootkit-Code ist eher generisch, so sollte es mit einigen Modifikationen funktionieren. In der Tat sind einige Teile des Codes so generisch, dass sie auf jeder anderen Klasse von Geräten funktionieren (nicht einmal CISCO-Geräte).

Cisco veröffentlichte daraufhin eine Liste von Best-Practice-Best Practices, um die Sicherheitshaltung eines Routing- und Switching-Netzwerks zu verbessern. “Diese Praktiken sind besonders relevant, um sicherzustellen, dass Cisco IOS-Geräte nur autorisierte und unveränderte Cisco IOS-Software-Bilder verwenden”, sagte das Unternehmen.

Cisco kauft Containerstart ContainerX

Das technische Erbe der Olympischen Spiele in Rio

Cisco schneidet 5.500 Arbeitsplätze in der letzten Umstrukturierung

? Cisco zu Axt bis zu 14.000 Mitarbeiter: Bericht