MacBidouille

Fireeye annonce avoir découvert une nouvelle menace déployée dans des routeurs Cisco.
Les modèles touchés sont les Cisco 1841, 2811 et 3825 mais il est probable que d'autres soient aussi concerné.
Ils ont découvert des attaques de ce type en Ukraine, aux Philippines, au Mexique et en Inde.

La menace en question, baptisée SYNful Knock est en fait un firmware modifié et implanté sur ces routeurs. Visiblement il ne l'a pas été suite à une faille de sécurité mais parce que les propriétaires de ces appareils ont laissé les identifiants et mot de passe administrateur inchangés et les routeurs accessibles depuis le WAN.

Une fois ces routeurs ainsi ouverts découverts, les pirates ont implanté dessus ce firmware modifié qui est presque totalement furtif.
Il crée une nouvelle porte dérobée aux pirates et leur permet non seulement d'accéder à tout le trafic qui passe à travers le routeur mais aussi de l'utiliser comme passerelle de masquage pour perpétrer des attaques de manière anonyme.

La détection de cette menace passe par des commandes à envoyer sur le routeur ce qui est assez complexe et laissera certainement l'essentiel de ces appareils attaqués vulnérables pendant des années. En effet, peu de personnes pensent que le routeur qui leur sert de passerelle entre leur réseau local et le Web puisse être ainsi compromis.
Les pirates l'ont compris et ont investi beaucoup de ressource pour prendre le contrôle de ces passerelles comme d'autres brèves du même genre vous l'ont appris ces derniers mois.