Backdoor “SYNFul knock” su dispositivi Cisco

 

Proto: N030915. 

Con la presente Email desideriamo informarLa della scoperta di una grave minaccia per i dispositivi di rete Cisco comunemente utilizzati per la realizzazione delle infrastrutture di networking. E’ stata rilevata la presenza e la diffusione di versioni modificate dei firmware per dispositivi di rete CISCO come Router o Switch, queste modifiche permettono l’accesso remoto ad attaccanti di rete attraverso lo sfruttamento di una backdoor denominata “SYNFul knock inserita in versioni alterate dei firmware Cisco.

L’installazione della backdoor all’interno dei sistemi Cisco avviene attraverso lo sfruttamento di credenziali di autenticazione di default o deboli e versioni non ufficiali dei firmware, permettendo così ad attaccanti di rete remoti di connettersi al dispositivo compromesso dopo l’uso di una particolare sequenza di connessioni TCP atte ad attivare la backdoor.

Attraverso l’accesso alla backdoor un attaccante remoto può accedere a tutte le comunicazioni di rete che attraversano il dispositivo Cisco compromesso, caricare e abilitare ulteriori moduli malevoli ed ottenere visibilità sulla rete interna dell’organizzazione. Yoroi consiglia di verificare la presenza dell’impianto backdoor sui propri device Cisco attraverso l’uso del comando “show platform | include RO, Valid”, il quale non produce output a console in caso di potenziale presenza di firmware compromessi.

Vista la grande pervasività di tali apparati, Yoroi consiglia di mantenere aggiornati i firmware Cisco e utilizzare un team di esperti per effettuare un continuo monitoraggio al fine di rilevare attivazioni della backdoor. Yoroi suggerisce inoltre di seguire le linee guida riportate da Cisco nel documento “Cisco IOS Software Integrity Assurance” allo scopo di minimizzare il rischio di compromissione.

Ulteriori informazioni sono state pubblicate dal Vendor in un apposito articolo.

Yoroi suggerisce l’utilizzo di un team di esperti per la protezione dei dispositivi di rete aziendali, di mantenere alto il livello di guardia all’interno della vostra organizzazione, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati.

Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index