Cisco ha advertido a sus clientes que hackers han estado utilizando credenciales de administrador robadas para instalar software malicioso en los dispositivos de red que ejecutan IOS.
IOS es el sistema operativo que se ejecuta en la mayoría de los routers y switches Cisco. Cuando estos dispositivos se encienden o reinician, el hardware es inicializado y el software IOS se inicia por un programa de arranque llamada monitor ROM (ROMMON).
De acuerdo con un aviso publicado por la empresa, los atacantes están reemplazando el firmware ROMMON legítimo con una imagen ROMMON maliciosa. Una vez que el dispositivo se reinicia con el nuevo ROMMON, los atacantes son capaces de manipular su comportamiento.
"En todos los casos vistos por Cisco, los atacantes acceden a los dispositivos con credenciales administrativas válidas y luego usan el campo de proceso de actualización de ROMMON para instalar un ROMMON malicioso", dijo Cisco en su aviso.
Mediante la instalación de una imagen maliciosa, los atacantes pueden asegurarse de que tienen el control sobre el dispositivo, incluso después de un reinicio. Cisco dijo que es consciente de un número limitado de este tipo de ataques.
La compañía ha señalado que la posibilidad de instalar una nueva imagen ROMMON en un dispositivo iOS es un estándar, una característica documentada. Personajes maliciosos pueden abusar de esta función robando credenciales de administrador o mediante el acceso físico al dispositivo de destino.
Debido a que los ataques observados por Cisco no implican ninguna vulnerabilidad, no se ha asignado ningún CVE.
Cisco aconseja a los clientes leer la documentación disponible en la protección de los dispositivos iOS frente a las ciberamenazas.
Aqui el comunicado.
IOS es el sistema operativo que se ejecuta en la mayoría de los routers y switches Cisco. Cuando estos dispositivos se encienden o reinician, el hardware es inicializado y el software IOS se inicia por un programa de arranque llamada monitor ROM (ROMMON).
De acuerdo con un aviso publicado por la empresa, los atacantes están reemplazando el firmware ROMMON legítimo con una imagen ROMMON maliciosa. Una vez que el dispositivo se reinicia con el nuevo ROMMON, los atacantes son capaces de manipular su comportamiento.
"En todos los casos vistos por Cisco, los atacantes acceden a los dispositivos con credenciales administrativas válidas y luego usan el campo de proceso de actualización de ROMMON para instalar un ROMMON malicioso", dijo Cisco en su aviso.
Mediante la instalación de una imagen maliciosa, los atacantes pueden asegurarse de que tienen el control sobre el dispositivo, incluso después de un reinicio. Cisco dijo que es consciente de un número limitado de este tipo de ataques.
La compañía ha señalado que la posibilidad de instalar una nueva imagen ROMMON en un dispositivo iOS es un estándar, una característica documentada. Personajes maliciosos pueden abusar de esta función robando credenciales de administrador o mediante el acceso físico al dispositivo de destino.
Debido a que los ataques observados por Cisco no implican ninguna vulnerabilidad, no se ha asignado ningún CVE.
Cisco aconseja a los clientes leer la documentación disponible en la protección de los dispositivos iOS frente a las ciberamenazas.
Aqui el comunicado.
