Angreifer loggen sich Administrator auf IOS-Routern und -Switches von Cisco ein und installieren darauf anschließend eine manipulierte Firmware.
Der Netzwerkausrüster Cisco warnt seine Kunden vor Cyber-Attacken, bei denen die IOS genannte Firmware von Geräten wie Routern und Switches durch eine manipulierte Version ersetzt wird. IOS (Internetwork Operating System) ist das Betriebssystem von Cisco für Netzwerkgeräte und hat nichts mit Apples System iOS für Smartphones und Tablets zu tun.
Bei der Attacke auf IOS-Netzwerkgeräte loggen sich die Angreifer mit gültigen Admin-Accounts ein und nutzen dann die Firmware-Update-Funktion, um ein manpuliertes Image einzuspielen. Sicherheitslücken in IOS werden dabei nicht ausgenutzt. Cisco lässt offen, welche Modifikationen die Angreifer an der Firmware vorgenommen haben. Unklar ist auch, wie die Angreifer an gültige Admin-Logins gekommen sind.
Dass die veränderte Firmware überhaupt von den Cisco-Geräten akzeptiert wurde, ist offenbar der Tatsache geschuldet, dass IOS nicht überprüft hat, ob die Update-Datei digital vom Hersteller signiert ist. Erst mit IOS 15.0(1)M für die Router-Serien 1900, 2900 und 3900 sowie IOS XE 3.1.0SG für die Catalyst 4500 E-Series Switches wurde ein Signaturcheck eingeführt. Wer mit IOS ausgestattete Netzwerkhardware von Cisco betreut, findet im Advisory drei Dokumente, in denen Cisco aktuelle Angriffe und Schutzmöglichkeiten schildert.