Credenciales administrativas comprometidas fueron utilizados para instalar el firmware de arranque adulterado en dispositivos Cisco IOS
La instalación de un firmware pícaro en dispositivos embebidos ha sido durante mucho tiempo una preocupación para los investigadores de seguridad, y parece que este tipo de ataques han comenzado a ganar terreno. En un aviso, Cisco Systems advirtió que está consciente de que se ha presentado un número limitado de casos en que los atacantes han reemplazado el firmware de arranque en dispositivos que ejecutan el sistema operativo iOS.
IOS se ejecuta en la mayoría de los routers y switches Cisco y proporciona un conjunto complejo de herramientas y funciones de red.
Credenciales falsas
Los atacantes utilizaron credenciales administrativas vigentes con el fin de reemplazar la imagen ROMMON en los dispositivos IOS, según explica la advertencia Cisco. ROMMON o Monitor de ROM, es el firmware de bajo nivel responsable de la inicialización del hardware y arrancar IOS.
Esto significa que el ataque es el equivalente a la sustitución de la BIOS o UEFI (Unified Extensible Firmware Interface) en las PC con una versión maliciosa.
“La vulnerabilidad del producto se aprovecha en este ataque y el hackers requiere credenciales administrativas válidas o el acceso físico al sistema para tener éxito”, explicó la empresa.
No está claro cómo los atacantes obtienen las credenciales administrativas utilizadas en los compromisos ROMmon, pero debe servir como una advertencia para los administradores de red de las empresas pues los equipos IOS son el objetivo.
“La posibilidad de instalar una imagen ROMMON actualizada en dispositivos IOS es un estándar, una característica documentada que los administradores utilizan para gestionar sus redes”, señala el reporte.
Mecanismo de prevención
Para los atacantes, el beneficio de la instalación de una imagen ROMMON maliciosa en un dispositivo es que no hace concesiones persistentes: las infecciones típicas de IOS no sobreviven los reinicios.
Los investigadores han puesto de relieve desde hace tiempo el riesgo de atacantes intermitentes de firmware pícaro en dispositivos embebidos en ausencia de protecciones como actualizaciones cifradas y firmados digitalmente.
Sin embargo, en el mundo real, los ataques utilizando este método han sido raros hasta ahora.
Cisco introdujo por primera vez una función de software de verificación de firmas digitales en IOS Software Release 15.0 (1) M para los Cisco 1900, 2900 y 3900 routers de la serie, así como en IOS XE . 3.1.0SG estreno de switches Cisco Catalyst 4500 E-Series.
Para prevenir, detectar y remediar los compromisos de dispositivos Cisco IOS, el equipo de respuesta a incidentes de seguridad de productos de la empresa asesora a los clientes a seguir las recomendaciones esbozadas en los siguientes tres documentos:
Cisco IOS Software Assurance Integridad; Guía de Cisco para dispositivos Harden y;
Dispositivos de Infraestructura basada en Telemetría de Monitoreo de Integridad.