Descubren varios routers Cisco infectados por SYNful knock, un malware oculto

Escrito por Sergio De Luz
Routers
0

Varios investigadores de seguridad de la empresa de seguridad FireEye han descubierto routers Cisco infectados con un backdoor oculto en al menos cuatro países, lo que más llama la atención es que este malware (backdoor en realidad) se ha incorporado en el propio Cisco IOS y por tanto tiene todas las funcionalidades del sistema operativo original. El malware encontrado en estos dispositivos de red se llama SYNful knock.

SYNful knock se carga en el dispositivo cada vez que se enciende el router y soporta hasta 100 módulos distintos de Cisco IOS, por lo que se puede adaptar perfectamente a objetivos individuales. La empresa Cisco Systems ha confirmado la investigación de FireEye y han publicado unas recomendaciones para la detección de este malware en los routers y bloquear los ataques.

El impacto de este backdoor es muy grave ya que el router es siempre el núcleo de la red y por donde pasa toda la información, el backdoor ofrece la capacidad de propagarse y comprometer otros dispositivos e incluso a los ordenadores conectados al router e incluso al robo de datos confidenciales que pasen por la red. Según la investigación llevada a cabo por FireEye, no parece que los cibercriminales hayan explotado una vulnerabilidad en Cisco IOS, sino que los atacantes han comprometido los routers que tienen las contraseñas por defecto o que las conocen por algún otro método.

La investigación de FireEye no aclara qué organizaciones tienen estos routers Cisco con el backdoor incorporado, tampoco se ha filtrado si los atacantes están trabajando para alguna agencia de espionaje tipo NSA o en el propio Gobierno del país. En una entrevista al CEO de FireEye, dio información muy valiosa sobre este backdoor y es que los recursos necesarios para infectar estos dispositivos sólo están al alcance de unos pocos países, pero no tienen duda que el backdoor está desarrollado por profesionales cualificados.

¿En qué consiste el backdoor?

SYNful knock consiste en una imagen original de Cisco IOS en la que se ha implantado este backdoor posteriormente, permitiendo al atacante cargar varios módulos de forma anónima desde Internet. Este backdoor proporciona acceso de administrador al equipo comprometido gracias a una contraseña secreta oculta que integra. La comunicación con los módulos se realiza a través de HTTP con paquetes TCP especialmente diseñados ya que no tienen una secuencia ni unos ACK afines al estándar. El acceso remoto al router se realiza a través de Telnet o por consola, no por SSH.

SYNful knockActualmente los modelos de routers Cisco que están afectados por este malware son los siguientes:

  • Cisco 1841 router
  • Cisco 2811 router
  • Cisco 3825 router

Según FireEye es posible que otros modelos también estén afectados por este backdoor debido a que sus funcionalidades son muy similares a estos routers. Un detalle importante es que el backdoor es persistente incluso después de que el router se reinicie, aunque los módulos que se hayan descargado sí desaparecen ya que se guardan en la memoria RAM del equipo y no estarán disponibles después del reinicio.

Os recomendamos leer este artículo de ARS Technica donde podréis saber más sobre este backdoor. También os recomendamos acceder a este estudio de ZMap donde tenéis información sobre cuántos routers comprometidos hasta la fecha se han descubierto.

Recomendaciones de Cisco

Cisco ha reaccionado rápidamente a este problema con sus routers, aunque no se trate de una vulnerabilidad en Cisco IOS, sí ha proporcionado una serie de recomendaciones para evitar la infección del malware:

  • Configurar el router de acuerdo a la guía de hardening de Cisco IOS.
  • Analizar el tráfico de red extraño para detectar posibles comunicaciones no deseadas.
  • Comprobar el hash de las imágenes Cisco IOS que tenemos instaladas en nuestros routers para verificar que son originales y no se han modificado.

Os recomendamos leer las recomendaciones de Cisco en su blog oficial donde tenéis enlaces directos a las guías de Cisco para proteger los routers.


Últimos análisis

Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10