• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Los administradores que no amaban a sus routers Cisco

Los administradores que no amaban a sus routers Cisco

18 septiembre, 2015 Por Hispasec Deja un comentario

El pasado 15 de septiembre se publicó un informe de la compañía FireEye en el que mostraban los detalles de un caso de infección de routers Cisco que merece la pena analizar.
¿Qué es un router? Una cajita con el tamaño suficiente para estorbar en cualquier lugar donde la pongas, (rack del CPD, detrás de un mueble, encima del armario…), llena de cables para que tropieces y que permite que tu red interna se conecte a otras redes internas, entre otros esquemas, para intercambiar información ¿Ingenioso, verdad? Desde pequeñas oficinas (SOHOs) hasta routers frontera de una organización considerable tienen un elemento en común: los instalas, configuras, compruebas que hay conexión y te olvidas de ellos. «Fire and forget» como se diría en la jerga militar.
Ese «y te olvidas de ellos» (voz haciendo eco en tu cabeza) tiene una importante contraprestación: que alguien, en la oceánica inmensidad de la red, saque partido de ese olvido.
Tal vez la cifra parezca ridícula. FireEye detectó 14 routers Cisco con una versión modificada de su firmware original que permite el acceso a la red interna a través de una puerta trasera. 14 routers no son muchos routers, prácticamente nada, una mota de polvo en una tormenta de arena. A lo largo de los días la cifra subió a 79 más, pero como se apunta desde Arstechnicaes posible que algunos positivos sean honeypots desplegados por otros investigadores. No es una opción descartable.
De cualquier modo las cifras no deben apantallar la carga explosiva de los hechos. Que una infección no alcance cotas significativas no se traduce en que tengas inmunidad frente a ella.
Hagamos un inciso antes de poner nuestros ojos en el microscopio para ver de cerca al bicho. Seguramente algunos lectores que administren routers Cisco estén en un momento de tensión innecesaria. No se trata de una vulnerabilidad específica de Cisco, no hay ningún gusano suelto (de otro modo las cotas sería exponencialmente superiores). Se sospecha que los autores se están aprovechando de aquellos routers que poseen credenciales de fábrica o contraseñas comunes para acceder al dispositivo. El porqué de Cisco y no otros es posiblemente debido a que este opus diabólico está diseñado exclusivamente para IOS, el sistema operativo de Cisco. Así que si administras Cisco y cambiaste las contraseñas por unas robustas, tranquilo, de lo contrario, si no las cambiaste o pusiste unas débiles…tal vez deberías hacer algunas comprobaciones.
SYNFul Knock
Routers infectados por país. Fuente: zmap.io
El «implante» o SYNFul Knock, como lo llaman en el informe de FireEye, consiste en una imagen de Cisco IOS modificada para permitir el acceso al dispositivo a través de una puerta trasera y capacidad modular para que el atacante pueda cargar funcionalidad acorde al tipo de acción que pretenda realizar.
Lo realmente curioso son los esquemas de comunicación que se han montado los atacantes para interaccionar con el dispositivo. Más que un canal encubierto básicamente se trata de «ofuscar» el modo en el que se accede a las puertas traseras mediante la manipulación de paquetes TCP estándar. Hablamos de ofuscar porque una simple captura de tráfico entre atacante-dispositivo hace saltar las alarmas si te fijas en los detalles. Naturalmente, lo osado es dar con los motivos para hacer tal captura de tráfico.
Llamativo que las puertas traseras solo puedan ser activadas a través de puertos estándar pero sin cifrado, léase: HTTP (a secas), telnet y consola. Se descartan los servicios HTTPS y SSH. El HTTP solo es usado por los atacantes para activar ciertos módulos. Crean un paquete TCP especial, lo envían hacia el puerto 80 y el firmware infectado se encarga de activar el módulo malicioso seleccionado. Si lo que desean es acceder directamente a un terminal de comandos IOS, el sistema de puerta trasera observa si las credenciales son válidas y corresponden a las de un atacante, activando entonces las funciones de puerta trasera (una shell). De lo contrario, las pasa al verdadero sistema de autenticación para que el usuario legítimo no observe nada un comportamiento extraño.
Uno de los factores que tuvieron cuidado de diseñar los autores fue el tamaño característico de la imagen binaria de Cisco IOS. ¿Cómo meter nueva funcionalidad sin engordar el tamaño del firmware? ¿Dieta milagro? No. Básicamente borrando funciones que no eran usadas por el dispositivo objetivo y sustituyéndolas por la funcionalidad maliciosa. Incluso se llegan a borrar algunas cadenas de caracteres de información de IOS por cadenas usadas para el servidor malicioso en HTTP. Algo que, absurdamente, identifica un router como infectado debido a que responde como un servidor Apache sobre un sistema GNU/Linux, pero que hace que el puerto 80 no destaque en escaneos arbitrarios al pasar por un servidor. Es decir, si sospechas de tus routers y escaneas el puerto 80 en busca de cabeceras te das cuenta, pero durante un escaneo rutinario puede pasar por debajo del radar.
Apretones de manos con guantes blancos
La comunicación entre el centro de control y sus tropas desplegadas es digna de detalle.
El router afectado mantiene a la escucha los puertos asociados a su administración. El preámbulo se efectúa con un paquete TCP SYN dirigido al puerto 80 con una constante entre el número de secuencia y el número reconocimiento («acknowledgment«): 0xC123D.
El SYN-ACK del router responderá con un número diferencial secuencial del anterior: 0xC123E. Los siguientes bytes en las opciones TCP del paquete: «02 04 05 b4 01 01 04 02 01 03 03 05», el puntero URGENT a 0x0001, pero no su bandera correspondiente. También reutilizará el número de reconocimiento del paquete SYN como número de secuencia de su SYN-ACK, número que generalmente es pseudoaleatorio en implementaciones comunes de pila TCP.
Tras el ACK, el centro de control enviará un paquete con las banderas PUSH y ACK activadas, a partir del offset 0x62 la cadena «text» y a 0x67 el comando enviado al router, cifrado trivialmente con XOR. 
Este jaleo de intercambios heréticos se inspira en la técnica del port-knocking, secuencias de paquetes modificados para abrir un puerto en un cortafuegos, grosso modo. 
Fin de la fiesta
Todas estas características crean una firma perfecta para alimentar los IPS/IDS y determinar si ciertos routers se hayan afectados. El propio equipo de FireEye ya nos provee de herramientaspara su detección (interesante también para auditorías, ejem, ejem)
Cisco Router 1841
De entre el grupo de dispositivos afectados sobresalen los siguientes modelos de Cisco:
Cisco Router 1841, 2811 y 3825.
No existe correlación entre la distribución geográfica o una organización determinada, aunque de momento Estados Unidos, Líbano o Rusia son los países que más positivos detectados acumulan, el número es pequeño para sacar conclusiones. Ver el estudio de los autores del escáner ZMap para más información.
Cisco ya venía sospechando de este tipo de esquema de ataque. No en vano el 11 de agosto pasado publicó una entradaen su blog bastante reveladora sobre instalación de firmwares maliciosos.
El maldito abracadabra

«…El castillo se desgranaba ante nuestros ojos. A pedazos. Piedra a piedra. De nada sirvieron sus robustos muros, su abismal foso ni las orgullosas torres que rozaban el mismo cielo. Una sola palabra bastó para que el eco de las montañas devolviera el grito desnudo de un viejo gruñón en una fuerza imperturbable, demoledora. Lo que siglos enteros llevó construir a los hombres iba a ser reducido al polvo, apartado a una amarillenta página de una historia que nadie recordará mañana…en cuestión de minutos…»

Resumiendo sin tanta prosa: Cambia las contraseñas por defecto y olvídate del perro cuando elijas una.
Más información:
Malicious Cisco router backdoor found on 79 more devices, 25 in the US
http://arstechnica.com/security/2015/09/malicious-cisco-router-backdoor-found-on-79-more-devices-25-in-the-us/
SYNful Knock – A Cisco router implant – Part II
https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis0.html
SYNful Knock – A Cisco router implant – Part I
https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html
In Search of SYNful Routers
https://zmap.io/synful/
Evolution in Attacks Against Cisco IOS Software Platforms
http://tools.cisco.com/security/center/viewAlert.x?alertId=40411


David García
dgarcia@hispasec.com
Twitter: @dgn1729

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware, Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR