Wereldwijd blijken er 79 gehackte Cisco-routers te zijn waarvan de firmware is aangepast, zodat de aanvallers toegang tot het netwerk blijven houden. Dat laten onderzoekers van de Universiteit van Michigan, UC Berkely en het International Computer Science Institute weten.
Deze week maakte beveiligingsbedrijf FireEye bekend dat het 14 routers had ontdekt waar aanvallers de firmware van hadden vervangen. Hoe de aanvallers toegang tot de routers wisten te krijgen is onbekend, maar volgens FireEye is er waarschijnlijk geen zero day-aanval gebruikt. Eerder waarschuwde ook Cisco voor deze aanvallen en stelde dat de aanvallers met geldige inloggegevens toegang tot de routers weten te krijgen.
Zodra de aangepaste firmware actief is kan die via speciale TCP SYN-pakketten worden benaderd. De onderzoekers gebruikten de ZMap-scanner om alle publieke IPv4-adressen op internet langs te gaan en deze pakketten te versturen. In totaal werden er 79 routers ontdekt die op de pakketten reageerden zoals bij de aangepaste firmware het geval zou zijn. 25 van de routers staan in de Verenigde Staten. Libanon (12) en Rusland (8) volgen op afstand. De onderzoekers zijn nu bezig om alle getroffen organisaties te waarschuwen.
Deze posting is gelocked. Reageren is niet meer mogelijk.