Onbekenden hebben netwerkverkeer weten te onderscheppen door kaping van Cisco-routers. Het besturingssysteem IOS van die netwerkapparatuur is deels vervangen door eigen software.
Security-onderzoekers zijn gestuit op een nieuwe aanvalsvorm om internetverkeer te onderscheppen en te manipuleren. Onbekende daders hebben internetrouters van Cisco gecompromitteerd door het besturingssysteem ervan deels te vervangen. Security-onderzoeksbedrijf Mandiant, onderdeel van securityleverancier FireEye, zegt hiermee de volgende stap in de evolutie van persistant cyberaanvallen te hebben ontdekt.
Backdoor en verborgen commando’s
De oneigenlijke aanpassing van Cisco’s IOS (Internet Operating System) door een eigen softwareplatform met equivalente functionaliteit heeft de naam Synful Knock gekregen. De malafide firmware heeft een eigen backdoor voor Telnet- en console-toegang met hoge privileges en luistert naar commando’s die zijn verpakt in speciaal aangemaakte TCP SYN-pakketten.
Mandiant heeft veertien gevallen van deze router-implants gevonden. Deze gekaapte Cisco-routers bevinden zich in India, Mexico, de Filipijnen en Oekraïne. In de onderzochte gevallen is de implant niet gedaan middels een zero day kwetsbaarheid in Cisco’s routersoftware. De ontdekkers menen dat de netwerkapparatuur óf met default inloggegevens zijn bereikt óf dat accountgegevens door de aanvallers eerst elders zijn buitgemaakt.
Heimelijk bruggehoofd
‘De positie van de router in het netwerk maakt het een ideaal doelwit voor re-entry of voor verdere infectie’, merken de onderzoekers van Mandiant op in hun blogpost hierover. De impact van deze ‘insluiper’ op netwerken is groot, stellen zij. Het is dan waarschijnlijk een teken dat er ook andere ingangen of gecompromitteerde systemen zijn binnen het netwerk, waarschuwen de onderzoekers. ‘Deze backdoor geeft de aanvaller ruim de mogelijkheid om te propageren en andere hosts en kritieke data te compromitteren middels dit zeer heimelijke bruggehoofd.’
‘Het vinden van backdoors in je netwerk kan uitdagend zijn. Het vinden van een router-implant is nog veel uitdagender.’ De technische blogpost ontleedt niet alleen de malafide routersoftware, maar geeft ook praktische methodes en tools om compromittering via Synful Knock te kunnen detecteren. De detectie van de implant is namelijk geen gemakkelijke klus. De wijzigingen aan de IOS-firmware zijn dusdanig gedaan dat het image dezelfde omvang heeft als het origineel. Cisco heeft klanten vorige maand al gewaarschuwd en biedt ook tegenmaatregelen, waaronder een Snort-rule om aanvallen via de Synful Knock-malware te detecteren.
De netwerkleverancier schat de ernst van deze securitydreiging in als ‘mild damage’ (drie op een schaal van vijf). ‘Geen productkwetsbaarheid is gebruikt in deze aanval en de aanvaller heeft valide administrative credentials nodig of fysieke toegang tot het systeem’, meldt Cisco in het security bulletin van augustus. ‘De mogelijkheid om een bijgewerkt Rommon-image te installeren op IOS-apparaten is een standaard gedocumenteerde feature die beheerders gebruiken om hun netwerken te beheren.’
100 extra modules laden
Getroffen Cisco-routers zijn de oudere modellen 1841, 2811 en 3825, maar de Mandiant-ontdekkers menen dat andere modellen ook geraakt kunnen zijn. Deze conclusie is gebaseerd op de gelijkenis in de kernfunctionaliteit en code base van IOS. De gewijzigde firmware kan via internet extra modules laden die dan alleen in het geheugen draaien en dus een reset niet overleven. Via een IOS-coredump vallen deze aanvullende functies te analyseren, geven de Mandiant-onderzoekers aan. In totaal kan de valse firmware zo’n honderd aanvullende modules laden.
De implant zelf nestelt zich in het systeemimage en weet dus wel aanwezig te blijven in de netwerkomgeving, ook na een algehele systeemreset. Bij het opnieuw starten van de router wordt deze malware al vroeg in het bootproces weer geladen. ‘Wij geloven dat de detectie van Synful Knock slechts het tipje van de ijsberg is wat betreft aanvallen met gewijzigde router-images (ongeacht de leverancier)’, waarschuwen de ontdekkers in een andere introducerende blogpost. Zij achten het waarschijnlijk dat andere, nog ongeziene varianten van de router-implant al wereldwijd zijn ingezet.