Odkrita zlonamerna koda v usmerjevalnikih
Matej Huš
16. sep 2015 ob 15:07:55
Že dlje je znano, da se lahko virusi in druga zlonamerna koda skrivajo ne le na diskih računalnikov, temveč tudi v strojni opremi, ki ima firmware - celo v kablih. Mrežni usmerjevalniki so posebej pripravni za ta namen, saj neposredno komunicirajo z internetom in računalniki v lokalnem omrežju. O obstoju virusov zanje smo že dlje časa špekulirali, Mandiant pa je sedaj odkril enega, ki se že uporablja. Okužen usmerjevalnik je veliko varnostno tveganje za celotno omrežje, ki ga povezuje, saj lahko na primer računalnikom pri brskanju po spletu podtika okužene spletne strani, ne da bi ti to sploh vedeli.
SYNful Knock so za zdaj odkrili v štirih državah (Ukrajina, Filipini, Mehika in Indija) v usmerjevalnikih Cisco 1841, 2811 in 3825. Gre za usmerjevalnike, ki so namenjeni velikim uporabnikom, operaterjem in ponudnikom dostopa do interneta. Cisco jih sicer že nekaj časa ne prodaja več, a analiza kaže, da bi lahko vsled podobnosti firmware okuževal tudi nekatere druge usmerjevalnike. Izkazalo se je, da gre za dodelan kos programske opreme.
Neznani napadalci - Mandiant predvideva, da gre za napad, ki ga je naročila kakšna država - so zlonamerno programsko opremo vgradili v usmerjevalnikovo programsko opremo (operacijski sistem IOS) tako, da se skupna velikost sploh ne poveča, zato ga je izredno težko odkriti. Usmerjevalnik s popravljenim firmwarom deluje povsem normalno, le da napadalcem omogoča dostop do omrežja. Pri tem velja poudariti, da niso izkoriščali nobene znane ranljivosti v Ciscovih usmerjevalnikih, temveč so zgolj zlorabili dejstvo, da številni uporabniki gesel ne spremenijo s privzetih tovarniških.
Ko je usmerjevalnik enkrat okužen, ga niti ponovni zagon ne očisti. Treba ga je ponovno zapisati (reflash) s čisto sliko operacijskega sistema. Okuženi usmerjevalnik odpre dostop do omrežja prek Telneta in konzole z napadalcu znanim geslom. Ker je virus modularen, ga je mogoče sproti nadgrajevati in mu dodajati nove funkcionalnosti.
Cisco je že pred mesecem dni uporabnike svojih izdelkov opozoril, da je uporaba tovarniških gesel nevarna, ker lahko nepridipravi na naprave namestijo zlonamerno programsko opremo. Tudi na SYNful Knock so v Ciscu včeraj še posebej opozorili, saj so sodelovali pri pripravi poročila. Ponovili so, da napad ne izkorišča nobene luknje v Ciscovi opremi, temveč šibka gesla.