Startseite > Security > Cisco-Router vor SYNful Knock schützen

Router-Hersteller reagiert auf Angriffsvorfälle

Cisco-Router vor SYNful Knock schützen

18. September 2015, 5:55 Uhr | LANline/Dr. Wilhelm Greiner

Am 15. September haben Fireeye und deren Security-Consulting-Tochter Mandiant vor Malware - genauer: einem Cisco-IOS-"Implantat" - gewarnt, das sie "SYNful Knock" nennen und auf vierzehn Cisco-Routern in Indien, Mexiko, den Philippinen und der Ukraine gefunden haben. Daraufhin haben Sicherheitsforscher dank eines globalen IP-Scans insgesamt 79 betroffene Geräte ausfindig gemacht. Cisco gibt IT-Organisationen nun Hilfestellung, um die eigenen Router auf SYNful Knock zu überprüfen und ihr Netzwerk besser abzusichern.

SYNful Knock ist eine heimliche Modifikation an Ciscos Firmware-Image, die es Angreifern ermöglicht, uneingeschränkten Zugriff auf den Router zu erhalten und weitere Malware-Module nachzuladen. Der Angriff kompromittierte Cisco-Router der Serien 1841, 2811 und 3825, es könnten aber auch noch weitere Geräteserien betroffen sein.

Laut den Sicherheitsforschern von Fireeye übersteht die per SYNful Knock modifizierte IOS-Firmware einen Reboot, wenngleich die nachgeladenen Module nur in flüchtigem Speicher vorgehalten werden und deshalb beim Reboot verloren gehen. Die forensische Analyse erfordere deshalb einen Core Dump des Router-Images.

Das Nachladen von Modulen erfolgt laut Fireeye über HTTP (nicht HTTPS). Die Backdoor selbst sei schwer aufzuspüren, da der Angriff spezielle TCP-Pakete mit nicht-standardkonformer Paketsequenz verwende. Details zum SYNful-Knock-Angriff hat Fireeye auf seinem Blog beschrieben, zu finden unter www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html.

Security-Forscher der University of Michigan und weiterer Forschungseinrichtungen haben wenig später den Fingerprint des SYNful-Knock-Implantats genutzt, um mittels des Open-Source-Netzwerkscanners Zmap alle öffentlichen IPv4-Adressen nach kompromittierten Cisco-IOS-Images abzusuchen. Der Scan ergab, dass insgesamt 79 Hosts in 19 Ländern mit SYNful Knock infiziert sind.

Ein sofort erkennbares Muster der Infektionen gab es laut den Forschern nicht: Der Schwerpunkt der betroffenen Geräte lag laut dem Scan in Afrika und Asien; 25 Hosts gehörten jedoch auch einem einzigen Provider an der US-Ostküste, weitere Ziele in Deutschland und dem Libanon wiederum einem Satellitennetzbetreiber, der Afrika mit Kommunikationsdiensten versorgt. Details zum Zmap-Scan der Security-Forscher findet man unter zmap.io/synful/

Cisco selbst hat ebenfalls sehr schnell reagiert und in einem Blog-Post Hilfestellung gegeben, um SYNful Knock zu erkennen und sich davor zu schützen. Schon im August, so Omar Santos von Ciscos Product Security Incident Response Team (PSIRT), habe man die Cisco-Kunden vor gezielten Angriffen auf Netzwerkgerätschaft gewarnt, welche über das üblicke DoS oder DDoS hinausgehen. Diese Warnung vor der Evolution der netzwerkzentrischen Angriffsvektoren ist zu finden unter tools.cisco.com/security/center/viewAlert.x?alertId=40411. Der von Fireeye und Mandiant entdeckte Angriff sei ein erstes Beispiel für diese Angriffsevolution.

Die Zusammenarbeit zwischen Ciscos PSIRT und Mandiant hat laut Santos ergeben, dass der Angriff keine IOS-Schwachstelle ausnutze, sondern valide Administrations-Credentials oder physischen Zugriff auf das Gerät erfordere. Cisco Talos habe die Snort-Regel mit der SID 36054 veröffentlicht, um das Aufspüren der SYNful-Knock-Malware zu ermöglichen. Diese Regel findet man unter snort.org/advisories/talos-rules-2015-09-15.

Da Netzwerkgeräte kritische Komponenten jeder IT-Infrastruktur und damit naheliegende Ziele für entsprechend versierte Angreifer sind, rät Cisco vor diesem Hintergrund, die Sicherheit der Cisco-IOS-Geräte zu überprüfen und gegebenenfalls zu optimieren. Dieser Prozess sollte laut Cisco in vier Schritten ablaufen:

1. Härtung der Geräte unter Zuhilfenahme von Ciscos Guide zu diesem Thema: www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html,

2. Instrumentierung des Netzwerks, um die Integrität der Geräte überwachen zu können: www.cisco.com/web/about/security/intelligence/network-integrity-monitoring.html,

3. Aufsetzen entsprechender Betriebsabläufe einschließlich Methoden zur Etablierung einer Baseline,

4. Analyse der Abweichungen von der Baseline mittels Maßnahmen aus Ciscos Knowledge Base zum Thema Integritätswahrung von IOS-Software („IOS Software Integrity Assurance“): www.cisco.com/web/about/security/intelligence/integrity-assurance.html.

Zur Kritikalität des SYNful-Knock-Angriffs sowie zur Frage, wer dahinter zu vermuten sein könnte, machte Cisco bislang hingegen keine Angaben.