Cisco предупреждает своих клиентов о росте числа атак, в ходе которых хакеры используют валидные учетные данные, чтобы получить доступ к устройствам под управлением IOS, загрузив на них вредоносный ROMMON-образ.

ROM Monitor — программа, инициализирующая аппаратное и программное обеспечение на IOS-устройствах, и атакующий, который смог установить модифицированный вредоносный образ, получит стойкий доступ к скомпрометированному устройству. ИБ-команда Cisco продолжает оповещать клиентов компании об этих атаках.

Для того чтобы получить доступ к устройству и провести атаку, атакующему понадобятся валидные учетные данные администратора. Атакующие не пользуются какой-либо уязвимостью. Хакерам неким образом удалось заполучить учетные данные администраторов, которыми они теперь пользуются для установки вредоносных ROMMON-образов.

«Cisco PSIRT вышла на связь с нашими клиентами, чтобы сообщить им о волне атак на платформы Cisco IOS Classic. Мы наблюдали несколько случаев, когда атакующие, получив административный или физический доступ к устройству под управлением Cisco IOS, заменяли образ Cisco IOS ROMMON (программы начальной загрузки IOS) на вредоносный ROMMON-образ, — говорится в бюллетене Cisco. — Во всех случаях атакующие получали доступ, используя валидные администраторские учетные данные, в дальнейшем заменяя существующий образ на вредоносный. После установки нового образа и перезагрузки IOS-устройства атакующий получал возможность управлять работой устройства. Использование вредоносных ROMMON-образов позволяет атакующим иметь стойкое присутствие в системе».

Для пользователя, имеющего права администратора, установка нового ROMMON-образа является стандартной привилегией. По заявлениям представителей Cisco, они не планируют регистрировать CVE-идентификатор, поскольку в данном случае атака производится без использования какой-либо уязвимости.

Категории: Уязвимости