網管們留意! 你的 Cisco 網絡設備韌體可能已遭置換

Cisco 發現最新的攻擊針對 Cisco IOS Classic platforms,當黑客獲取管理權限或透過實體存取控制 Cisco IOS 裝置後,便將正常的 IOS ROMMON 替換為植入了惡意程式的 ROMMON ,令黑客能接管控制裝置。而目前尚未清楚黑客如何取得有效的管理員憑證來達成攻擊。

思科(Cisco) 網絡設備商警告該公司有一部分的路由器和網絡交換器可能被劫持。思科已於週二(8/11)在其官方網站的安全警報頁面中詳細公佈了該威脅的資訊,指有部分裝置可能被黑客替換 firmware 並植入惡意程式。

 

持續感染 問題暫時難以修復

Cisco 提及該攻擊針對 Cisco IOS Classic platforms,當黑客獲取管理權限或透過實體存取控制 Cisco IOS 裝置後,便將正常的 IOS ROMMON 替換為植入了惡意程式的 ROMMON ,令黑客能接管控制裝置。而目前尚未清楚黑客如何取得有效的管理員憑證來達成攻擊。

更令人憂慮的是,利用受感染的 ROMMON 黑客透過重新啟動裝置使其持續受到感染,使問題變得難以修復。目前 Cisco 將該攻擊定義為中等程度威脅,會對裝置造成中等程度的損害。此外 Cisco 並未定義此種攻擊為漏洞,因此並未將其列入 CVE (Common Vulnerabilities and Exposures) 資料庫,亦未賦予編號。

Source: ZDNet