Angreifer tauschen Firmware von Cisco-Routern aus

Cisco warnt vor einem Leck in Routern. Das Leck SYNful Knock kann genutzt werden, um die Firmware der betroffenen Geräte auszutauschen.

Nun nutzen Angreifer dieses Leck aktiv aus und tauschen dafür das Betriebssystem aus. Auf diesem Wege können Angreifer uneingeschränkten Zugriff auf ein Netzwerk bekommen. Der unbeschränkte Zugriff auf die Router werde jedoch über einen Passwort-geschützten Backdoor gesichert.

Bislang galten Angriffe auf Firmware als “eher theoretisch” und so galt auch die praktische Umsetzung eines Exploits als unwahrscheinlich. Nun aber habe die FireEye-Beratungs-Abteilung Mandiant mindestens 14 Router mit dem mit SYNful Knock modifizierten Betriebssystem entdeckt. Die Router seien in der Ukraine, den Philippinen, in Mexico und in Indien beheimatet. Es sei jedoch sehr wahrscheinlich, dass noch weitere Router betroffen seien, die bislang jedoch nicht entdeckt werden konnten.

SYNful Knock implantiert in der Firmware verschiedener Cisco-Router einen Backdoor, der unbeschränkten Zugriff auf das Netzwerk erlaubt. (Bild: FireEye)

Die betroffenen Router auszumachen sei aufgrund der Kommunikationsstruktur relativ schwierig heißt es im FireEye-Advisory.

“Es kann schwierig sein, ein Backdoor zu entdecken, da häufig nicht-standardisierte Pakete als eine Art Pseudo-Authentifizierung verwendet werden”, so FireEye weiter. “Selbst das Aufspüren eines Backdoors im eigenen Netzwerk kann eine Herausforderung sein, für ein Router-Implantat gilt das umso mehr.” Allerdings seien die Folgen einer solchen Entdeckung schwerwiegend und es sei in einem solchen Fall sehr wahrscheinlich, dass auch weitere Schadsoftware oder kompromittierte Systeme im Unternehmensnetzwerk vorhanden sind.

Die Malware lasse sich anpassen und könne remote aktualisiert werden, so FireEye. Weil es als Firmware auf dem Router gespeichert ist, bleibt der Schädling auch nach einem Neustart aktiv. Doch weitere modifizierte Module seien laut FireEye im volatilen Speicher der Geräte gespeichert und lassen sich mit einem Hard Reset von dem Gerät löschen. Ob es weitere Module gibt, lässt sich jedoch alleine durch einen Core-Dump des Router-Images analysieren

Bislang konnte FireEye die modifizierten Betriebssystem-Images auf den Cisco-Router-Modellen 1841, 2811 und 3825 aufspüren, doch es könnten auch weitere Modelle betroffen sein, heißt es von FireEye.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Fehlende Subventionen: Intel verschiebt Baubeginn seiner Chipfabrik in Ohio

Der US-Kongress streitet weiterhin über Details eines 52 Milliarden Dollar schweren Subventionspakets. Am Zeitplan für…

1 Tag ago

Microsoft informiert Nutzer von Windows 8.1 über nahendes Support-Ende

Ab Juli blendet das OS Benachrichtigungen ein. Der Support endet am 10. Januar 2023. Windows…

1 Tag ago

Graphcore und Aleph Alpha entwickeln gemeinsam multimodale KI-Modelle

Graphcore will bis 2024 den weltweit ersten ultraintelligenten KI-Computer bereitstellen.

2 Tagen ago

Apple führt mit iOS 16 Alternative zu CAPTCHA-Tests ein

Die sogenannten Private Access Tokens nutzen bereits auf einem Gerät vorhandene Daten. An der Entwicklung…

2 Tagen ago

Öffentliche und private Investitionen in Quantentechnologien steigen

McKinsey: Erste Profiteure der rasanten QT-Entwicklung sind voraussichtlich die Pharma-, Chemie-, Automobil- und Finanzindustrie.

2 Tagen ago

Was uns die Physik über datengetriebenes Marketing verrät

Datengetriebene Technologien wie Predictive Analytics eröffnen im digitalen Marketing neue Möglichkeiten, sagt PwC-Marketing-Experte Mathias Elsässer…

2 Tagen ago