image

Hackers verstoppen malware in router-firmware

donderdag 8 november 2012, 10:13 door Redactie, 6 reacties

Een Amerikaans telecombedrijf is onlangs aangevallen via router-firmware waar nog onbekende aanvallers malware in hadden verstopt. Als de IT-afdeling van het bedrijf de upgrade had uitgerold, zou de malware automatisch zijn verspreid onder alle computers die met het bedrijfsnetwerk verbonden waren, zo meldt Foreign Policy.

"We hadden een groep aanvallers die al een tijd binnen een bedrijf aanwezig waren, en we ontdekten dat ze het bedrijfsonderdeel hadden geïdentificeerd dat de router-upgrades verzorgde", zegt de bekende beveiligingsexpert Richard Bejtlich, CSO bij beveiligingsbedrijf Mandiant.

Image
"De aanvallers hadden een kopie van de image van de routersoftware gemaakt, gedecompileerd en vervolgens kwaadaardige features aan de router-image toegevoegd en teruggeplaatst waar de systeembeheerders van het bedrijf ze vervolgens naar de routers zouden kopieren." Na de installatie zouden de aanvallers ongestoord door het bedrijfsnetwerk kunnen gaan.

De router-images zijn volgens Bejtlich bij het bedrijf zelf buitgemaakt, die in veel gevallen over eigen 'repositories' met images beschikken, of bij Cisco gedownload. "Hoewel het een niche is, zijn er mensen die zich specialiseren in het uit elkaar halen van Cisco router-images", laat Bejtlich weten.

Controle
Bedrijven kunnen zich eenvoudig hier tegen beschermen door de digitale handtekening van het bestand te controleren. "Dan durf ik te wedden dat je het vindt." Bejtlich merkt op dat in dit voorbeeld de systeembeheerders de aanval net op tijd ontdekten, maar dat andere bedrijven waarschijnlijk niet zoveel geluk hebben.

In 2010 werd een bekende Nederlandse zuivelcoöperatie aangevallen via firmware voor een systeem waarmee de SCADA-apparatuur werd aangestuurd. In de firmware zat een variant van de Confickerworm verstopt.

Reacties (6)
08-11-2012, 11:13 door SirDice
Door Redactie: De router-images zijn volgens Bejtlich bij het bedrijf zelf buitgemaakt, die in veel gevallen over eigen 'repositories' met images beschikken, of bij Cisco gedownload. "Hoewel het een niche is, zijn er mensen die zich specialiseren in het uit elkaar halen van Cisco router-images", laat Bejtlich weten.
Veel van die routers zijn gewoon op Intel i386 gebaseerde systemen en IOS is natuurlijk gewoon een stuk software. Daar is verder niets speciaals aan.

http://www.phrack.com/issues.html?issue=60&id=7
08-11-2012, 11:26 door Anoniem
Door SirDice:
Veel van die routers zijn gewoon op Intel i386 gebaseerde systemen en IOS is natuurlijk gewoon een stuk software. Daar is verder niets speciaals aan.

Jij zegt het. Ik kom nooit i386's tegen maar wel ARM en PowerPC.
Of je er zomaar een stuk software in kunt laden dat niet gesigned is dat zal ook wisselen per merk en type.
08-11-2012, 19:37 door Anoniem
Ja nog even en dan kunnen ze je draadloze muis ook met een virus infecteren..... hihihi
08-11-2012, 21:34 door Didier Stevens
Zelf heb ik ook al IOS aangepast en op een router geplaatst:
http://blog.didierstevens.com/2011/12/24/happy-new-router/

i386 ben ik nog niet tegengekomen.

En IOS images met een digitale handtekening kom je alleen maar tegen op high-end devices.
09-11-2012, 00:24 door Anoniem
Door Didier Stevens: Zelf heb ik ook al IOS aangepast en op een router geplaatst:
http://blog.didierstevens.com/2011/12/24/happy-new-router/

i386 ben ik nog niet tegengekomen.

En IOS images met een digitale handtekening kom je alleen maar tegen op high-end devices.

De meeste Cisco IOS routers/switches gebruiken een MIPS of PowerPC afgeleide CPU.
Op diverse nieuwere high-end Cisco devices wordt echter een x86 gebruikt als processor (bv Nexus, ASR 1000 RP2 ).

Juniper gebruikt al heel lang een x86 met aangepaste FreeBSD versie als routing engine.
Letterlijk 'i386' zul je in een museum moeten zoeken, wellicht dat er nog een Novell router ergens is.

Natuurlijk wordt op enigszins high-end routers, en alle switches het feitelijk forwarden van packets gedaan door asics.
@SirDice : ja, 'gewoon stuk software', maar IOS binaries reverse engineeren is toch een andere orde dan yet another php-sql inject.
12-11-2012, 12:28 door SirDice
Met op i386 gebaseerde processoren bedoel ik natuurlijk 486, Pentium, Pentium 2,3, 4, Xeon, Core2, etc. Maar ook AMD. En niet letterlijk een i386.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.