Cisco heeft samen met de Shadowserver Foundation de afgelopen dagen het internet gescand op gehackte Cisco-routers, wat uiteindelijk 199 verdachte IP-adressen opleverde. Recentelijk waarschuwden zowel Cisco als beveiligingsbedrijven voor de SYNFul Knock-malware.
Aanvallers blijken via gestolen wachtwoorden of fysieke toegang Cisco-routers te hacken en installeren vervolgens een aangepaste versie van het besturingssysteem; de SYNFul Knock-malware. Via de malware blijven de aanvallers toegang tot het bedrijfsnetwerk houden, ook al wordt de router gereset. Door het internet te scannen kan Cisco getroffen klanten nu waarschuwen. De scan leverde 199 IP-adressen op die gedrag vertonen dat met de SYNFul Knock-malware overeenkomt.
Het aantal IP-adressen varieert, aangezien bij een scan van gisteren er 163 IP-adressen werden gevonden. Mogelijk zijn de 'verdwenen' 36 routers opgeschoond of waren niet online. De meeste geïnfecteerde routers bevinden zich in de Verenigde Staten. Het gaat in totaal om 65 IP-adressen. Op afstand volgen India (12), Rusland (11) en Polen (9). Organisaties krijgen het advies om gehackte routers te identificeren en de infectie zo snel als mogelijk te verwijderen. Onlangs publiceerde Cisco uitleg hoe de besmette routers kunnen worden gevonden en opgeschoond.
Deze posting is gelocked. Reageren is niet meer mogelijk.