TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
หลังจากที่ Cisco เคยออกมาเตือนเรื่องการฝัง Firmware บน Cisco IOS Router เพื่อใช้เป็นฐานการโจมตีไปแล้วนั้น วันนี้ FireEye ได้ออกมารายงานถึง 14 กรณีใน 14 ประเทศได้แก่ ยูเครน, ฟิลิปปินส์, เม็กซิโก และอินเดีย ที่มีการสับเปลี่ยน ROMMON บนอุปกรณ์ Cisco IOS เพื่อเปิด Backdoor บนอุปกรณ์เหล่านั้น และติดตั้งโมดูลเสริมเพื่อทำการโจมตีเพิ่มเติมจากการรับคำสั่งผ่าน HTTP ได้ โดยมี Router ที่ตรวจพบว่ามีปัญหานี้ด้วยกัน 3 รุ่นในเวลานี้
- Cisco 1841 Router
- Cisco 2811 Router
- Cisco 3825 Router
ทั้งนี้ในการติดตั้งโมดูลเสริมเพื่อการโจมตีใดๆ นั้น SYNful Knock ต้องทำการ Reboot Router อย่างน้อย 1 ครั้งก่อนเสมอเพื่อให้โมดูลเหล่านั้นสามารถใช้งานได้ และโมดูลเหล่านั้นจะถูกฝั่งอยู่ใน Firmware แบบถาวร
หลังจากทำการสืบสวนร่วมกับ FireEye เพิ่มเติม Cisco พบว่าการติดตั้ง ROMMON ในลักษณะนี้ไม่สามารถทำได้ผ่านช่องโหว่ใดๆ ของ Cisco IOS แต่อย่างใด นอกจากผู้โจมตีจะรู้รหัสผ่านของผู้ดูแลระบบทั้งหมด หรือเข้าถึงตัวอุปกรณ์ได้เลยเพื่อเข้าไปอัพเกรด Firmeware โดยตรง
ทางด้าน Cisco ได้ออก Snort Rule SID:36054 มาเพื่อตรวจจับการโจมตีที่เกิดขึ้นจาก SYNful Malware https://snort.org/advisories/talos-rules-2015-09-15 รวมถึงแนะนำ Best Practice 4 ข้อสำหรับผู้ดูแลระบบ ดังนี้
- Step 1: Harden devices – use Cisco’s guidance to harden Cisco IOS devices
- Step 2: Instrument the network – follow recommendations Telemetry-Based Infrastructure Device Integrity Monitoring
- Step 3: Establish a baseline – ensure operational procedures include methods to establish a baseline
- Step 4: Analyze deviations from the baseline by leveraging technical capabilities and recommendations for Cisco IOS Software Integrity Assurance.
สุดท้ายนี้ Cisco ก็ได้ทำการเตือนผู้ผลิตอุปกรณ์เครือข่ายรายอื่นๆ ให้ระวังการโจมตีในลักษณะนี้ด้วยเช่นกัน
สำหรับผู้ที่สนใจรายงานฉบับเต็ม สามารถอ่านได้ที่ https://www2.fireeye.com/WEB-RPT-SYNful-Knock-Cisco-Implant.html นะครับ
ที่มา: http://arstechnica.com/security/2015/09/attackers-install-highly-stealthy-backdoors-in-cisco-routers/ , http://blogs.cisco.com/security/synful-knock
