Angribere udskifter firmware i Cisco-udstyr

Artiklen blev oprindeligt publiceret den 13/8/2015

Ukendte angribere har installeret falske udgaver af det program, der kører, når Cisco-udstyr startes. Det giver dem adgang til at styre netværket.

Angriberne installerer deres egen version af firmwareprogrammet ROMMON under styresystemet IOS. Efter iOS-enheden bliver genstartet, kan angriberne styre, hvordan den opfører sig.

Alle angreb er sket ved, at angriberne har udnyttet valide administrator-brugernavne og passwords. Der er altså ikke opdaget en ny sårbarhed.

Cisco skriver, at det er nødvendigt for netværksadministratorer at kunne opdatere ROMMON enten ved at logge ind som administrator eller via fysisk adgang til udstyret.

Firmaet har offentliggjort tre hvidbøger, der giver råd om at forhindre, opdage og udbedre skaderne efter angreb på IOS-enheder.

Anbefaling
Følg rådene i hvidbøgerne.

Links

• Evolution in Attacks Against Cisco IOS Software Platforms, advarsel fra Cisco
• Cisco network kit warning: Watch out for malware in the firmware, artikel fra The Register