آلودگی روترهای سیسکو توسط درب پشتی در حداقل 4 کشور

آلودگی روترهای سیسکو توسط درب پشتی در حداقل 4 کشور

محققان امنیتی FireEye در گزارشی در روز سه‌شنبه 94/06/24، اعلام نمودند که حملات مخفی و بسیار فعالی را بر روی روترهای سیسکو توسط یک درب پشتی را کشف کرده‌اند. این درب پشتی بدافزاری بر روی حداقل 14 روتر این شرکت در 4 کشور (اکراین، فیلیپین، مکزیک و هند) دیده‌شده است و احتمال آلودگی در بقیه نقاط دنیا داده‌شده است. این بدافزار مخرب در زمان هر بار روشن شدن روتر لود می‌شود و تا 100 مادول را پشتیبانی می‌کند. این درب پشتی را جهت حملات به اهداف مشخص می‌توان سفارش سازی نمود.
مقامات شرکت سیسکو این گزارش را رسم تائید نموده‌اند و برای مشتریان خود امضاهای شناسایی حملات را انتشار داده‌اند تا از دانلود این درب پشتی جلوگیری شود. به گفته این مقامات این بدافزار در صورت شناسایی در شبکه عواقب جدی به دنبال دارد و نشان‌دهنده این است که موارد نقض به دستگاه‌های دیگر در شبکه وجود دارد. این درب پشتی توانایی زیادی به حمله‌کننده برای پخش و نقص هاست های دیگر و سرقت داده را می‌دهد.
آلودگی اولیه ظاهراً از آسیب‌پذیری‌های دیگری در دستگاه‌های سیسکو سوءاستفاده نمی‌کند. حمله‌کنندگان به نظر می‌رسد که به دنبال روترهایی هستند که اسم رمز پیش‌فرض کارخانه‌دارند و یا شناسایی نشده می‌باشند.
قبل از انتشار این گزارش شرکت سیسکو به مشتریان خود در مورد “سری حملاتی که دستگاه‌های اصلی و ضروری شبکه را تحت کنترل کاملاً خود درمی‌آورند” هشدار داده بود. روش این حملات ظاهراً تزریق (implant) و جایگزین کردن تصاویر firmware “ROMMON یا ROM monitor”، که برای boot کردن دستگاه‌ها استفاده می‌شود، می‌باشد. اطلاعاتی از سازمان یا افراد مسئول حمله و درب پشتی و حتی از اهداف آن در دست نیست اما شکی وجود ندارد که درب پشتی توسط افراد حرفه‌ای ساخته و اجراشده است.

تزریق درب پشتی به “تصویر تغییریافته سیسکو” به حمله‌کننده اجازه می‌دهد تا مادول های عملکردی مختلفی را به روتر از طریق anonymity در اینترنت لود کند و دسترسی نامحدود از طریق یک اسم رمز درب پشتی مخفی را به حمله‌کننده می‌دهد. هر یک از مادول ها توسط پروتکل HTTP، با استفاده از پاکت‌های TCP سفارش سازی و ارسال‌شده به رابط روتر، فعال می‌گردد. پاکت‌ها سکانس غیراستاندارد و تعداد زاییده مطابق با روتر رادارند. مادول ها خود را به‌عنوان کد قابل‌اجرا مستقل یا hook در داخل روتر نشان می‌دهند. اسم رمز درب پشتی دسترسی را از طریق کنسول و یا تل نت فراهم می‌کند. سخت‌افزارهای
Cisco 1841 router، Cisco 2811 router وCisco 3825 router تحت تأثیر این آلودگی می‌باشند. تزریق درب پشتی به‌صورت مستمر در تصویر اقامت دارد و با هر بار لود شدن حتی پس از reboot دستگاهی فعال می‌گردد. مادول های لود شده بیشتر توسط حمله‌کننده در حافظه موقت روتر اقامت داشته و پس از reboot پاک می‌شوند.
تغییرات در باینری IOS به چهار بخش تقسیم می‌شوند.
1. تغییرات در ترجمه ویژگی‌های Read/Write TLB
2. تغییرات در عملکرد موجه IOS برای تماس با و اجرا بدافزار
3. Overwrite موجه پروتکل عملکردهای مدیریتی با کد مخرب
4. Overwrite string های مرجع برای عملکردهای موجه توسط string مای استفاده‌شده توسط بدافزار
چون روتر ها معمولاً خارج از پارامترهای دیواره آتش و بسیاری از وسایل امنیتی دیگر فعالیت می‌کنند، “درب پشتی‌های بر اساس روتر” ابزارهای هک ایدئال می‌باشند. از این طریق می‌توان ارتباطات ورودی و خروجی سازمان‌های مورد هدف را مانیتور نمود و دیگر سخت‌افزار داخل همان شبکه را آلوده کرد. بااینکه تئوری این نوع حملات درگذشته بیان‌شده بود، این اولین بار است که محققین شواهد قطعی چنین آسیب‌پذیری‌های را کشف کرده‌اند.