SYNful Knock

Din punct de vedere istoric, factorii de amenintare au tintit retelele de dispozitive conectate pentru a crea o intrerupere la nivelul DoS. Desi acesta ramane cel mai cunoscut tip de atac, observam o serie de progrese in domeniu, care se concentreaza pe compromiterea intregii infrastructuri a retelei.

Recent, echipa Cisco PSIRT (Product Security Incident Response Team) a depistat atacuri la nivelul platformelor Cisco IOS si a avertizat clientii din intreaga lume de acest atac.

Unul dintre tipurile de atacuri este SYNful Knock, un „router implant” depistat in 14 rutere livrate in 4 tari diferite.

Echipa Cisco impreuna cu echipa Mandiant au confirmat faptul ca atacurile nu au afectat nicio vulnerabilitate a produselor Cisco si ca acestea au fost oprite la nivelul la care cereau date administrative valide sau acces fizic la dispozitivul tintit.

SYNful Knock este un tip de malware persistent care permite atacatorului sa aiba control asupra unui dispozitiv infectat si sa compromita integritatea acestuia cu ajutorul unei imagini Cisco IOS modificate. Mandiant a descris acest malware ca avand module diferite activate prin protocolul HTTP si declansate cu ajutorul pachetelor TCP trimise catre dispozitiv.

Datorita rolului foarte important pe care il are networkingul in infrastructura, dispozitivele dedicate sunt o tinta foarte valoroasa pentru factorii de atac si ar trebui securizate ca atare. Recomandam tuturor utilizatorilor de asemenea dispozitive sa utilizeze metode avansate de securitate care sunt capabile sa previna si sa detecteze orice atac ce ar putea aparea in interiorul operatiunilor interne.

Iata 4 pasi simpli prin care poti creste securitatea dispozitivelor de networking:

1. Consolideaza securitatea dispozitivelor
2. Supravegheaza reteaua
3. Stabileste un standard si asigura-te ca procedurile interne il respecta
4. Analizeaza orice deviere de la comportamentul standard

Sursa: Cisco International