Útok nazvaný SYNful Knock úspěšně přepsal firmware 14 routerů značky Cisco v Indii, Mexiku, na Filipínách a Ukrajině. Pozměněný ovládací software routeru otevírá plný přístup k zařízení a podle bezpečnostních analytiků je pravděpodobné, že se nákaza objeví i v dalších částech světa a u dalších značek routerů.
SYNful Knock stahuje softwarové moduly pro další útoky. Zjištěn byl v routerech Cisco 1841, 2811 a 3825. Vyžaduje, aby útočník měl buď fyzický přístup k routeru nebo znal platné heslo. Nejedná se tedy o bezpečnostní chybu.
Útok není omezený na routery Cisco, ale fungoval by i na modelech jakékoli jiné značky. Útok začíná získáním přístupu pomocí platných přístupových údajů – může se jednat například o defaultní heslo, které správce nezměnil – a následně instalaci škodlivého kódu, který změní operační systém IOS. Změny umožní útočníkovi přístup k narušenému systému jinými způsoby, aby mohl provádět další akce včetně nahrávání aktualizací.
Detekce SYNful Knock je obtížná, protože jednak používá k ověření při přístupu k zadním vrátkům nestandardní pakety, jednak skrývá svoji přítomnost. Změně velikosti obrazu systému zabrání tím, že svým kódem přepíše zbytné funkce, jejichž změna neovlivní činnost systému.
PŘEDPLATNÉ
ČLÁNKY DO MAILU