شماره: IRCNE2015082628
تاريخ:06/27 /94
محققان Mandiant حمله اي را شناسايي كردند كه در آن ميان افزاري آسيب پذير بر روي مسيرياب هاي شركت هايي از چهار كشور نصب شده است.
در اين حمله كه SYNful Knock ناميده مي شود مهاجمان مي توانند با بالاترين حق دسترسي به دستگاه آلوده دسترسي داشته باشند. اين حمله با بدافزاري كه بر روي مسيرياب مشتريان شناسايي شد و مي تواند حافظه دستگاه را پاك كند تفاوت دارد.
SYNful Knock يك تغيير در سيستم عامل IOS است كه بر روي مسيرياب ها و سوئيچ هاي پيشرفته اجرا مي شود و توسط شركت سيسكو طراحي شده است. اين مساله توسط محققان Mandiant بر روي مسيرياب هاي سيسكو 1841، 8211 و 3825 كه توسط سازمان ها براي ارتباط بين شعبه هاي آن ها يا توسط ارائه دهندگان خدمات براي ارائه سرويس هاي شبكه استفاده مي شود شناسايي شده است.
اين محققان نسخه هاي تقلبي ميان افزار را بر روي 14 مسيرياب در كشورهاي مكزيك، اوكراين، هند و فيليپين مشاهده كرده اند.
مدل هايي كه تحت تاثير اين حمله قرار گرفته اند از شركت سيسكو خريداري نشده اند اما هيچ تضميني وجود ندارد كه مدل هاي جديدتر تحت تاثير آن قرار نگيرند.
شركت سيسكو در ماه اوت راهنمايي امنيتي منتشر كرد و در آن نسبت به حملات جديدي كه ميان افزارهاي تقلبي را بر روي مسيرياب هاي اين شركت نصب مي كند هشدار داد.
در حملاتي كه توسط محققان Mandiant شناسايي شده است، اين حملات ناشي از سوء استفاده از آسيب پذيري نبوده اند بلكه از طريق اعتبارنامه هاي مديريتي پيش فرض يا به سرقت رفته اجرا شده است. تغييراتي كه در تصاوير ميان افزار تقلبي صورت گرفته است به گونه اي است كه سايز اين ميان افزار با سايز ميان افزار اصلي يكسان باشد.
نسخه تقلبي اين ميان افزار داراي يك backdoor رمز عبور است كه مي توان به كنسول مديريتي دسترسي يافت و هم چنين دستورات حاوي بسته هاي TCP SYN دستكاري شده خاص را شنود كرد.
مسيرياب هايي كه تحت تاثير اين حمله قرار دارند مي توانند به مهاجمان اجازه دهند تا ترافيك شبكه را شنود كرده و يا تغيير دهند، كاربران را به سمت سايت هاي جعلي هدايت كنند و حملات ديگري را بر روي دستگاه ها، سرورها و رايانه هاي مستقر در شبكه هاي ايزوله راه اندازي نمايند.
محققان Mandiant راه هايي را ارائه دادند كه مي توان به كمك آن حملات SYNful Knock را بر روي مسيرياب هاي محلي و مسيرياب هاي شبكه شناسايي كرد.
- 10