In einem Bericht beschreibt die Sicherheitsfirma FireEye einen, wie sie es selbst bezeichnet, groß angelegten Angriff namens "SYNful Knock" auf Netzwerk-Hardware der Firma Cisco. In Mexiko, der Ukraine, auf den Philippinen und in Indien wurden insgesamt 14 Router kompromittiert und mit Hintertüren versehen.

Um Zugriff auf die Systeme zu erlangen, benötigen die Angreifer gültige Admin-Zugänge, es liegt den Angriffen also keine Sicherheitslücke in den Geräten zu Grunde. Mittels eines gut dokumentierten, gängigen Update-Features überschreiben sie dann Teile der Firmware mit Schadcode.

Um den Angriff zu analysieren und zu verifizieren, arbeitete die Cisco-Sicherheitsabteilung mit FireEye zusammen. Der Hersteller empfiehlt, da keine Sicherheitslücke vorliegt, in einem entsprechenden Advisory grundsätzliche Maßnahmen zur Absicherung der Netzwerk-Hardware. Die Angreifer nutzen laut FireEye Standardpasswörter in den Cisco-Systemen oder haben auf anderen Wegen die entsprechenden Passwörter in Erfahrung gebracht. Physischen Zugriff zu den Routern hält Cisco ebenfalls für einen plausiblen Angriffsweg.

Auf Grund ihres großen Marktanteils und ihrer hohen Verbreitung in Firmen, Behörden und anderen kritischen Einsatzgebieten sind Cisco-Geräte ein beliebtes Ziel für Angriffe. Mit den Worten: "Wir haben so etwas noch nie gesehen" zitiert dpa den FireEye-Chef David deWalt zu dem Angriff. Seine Firma gehe von noch mehr Opfern aus.

Die Angreifer hätten modularen Schadcode, der im laufenden Betrieb mit neuen Funktionen versorgt werden könne, entwickelt und ein hohes Verständnis der Cisco-Technik an den Tag gelegt. Der Bericht bleibt allerdings eine genaue Beschreibung der Funktionen, die diese Module ausführen, schuldig.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE