SYNful Knock: FireEye beschreibt Angriffe auf Cisco-Router

Die Sicherheitsfirma FireEye beschreibt in einem Bericht einen, wie sie selbst es bezeichnet, groß angelegten Angriff auf Netzwerk-Hardware der Firma Cisco namens "SYNful Knock". Insgesamt wurden 14 Router in der Ukraine, auf den Philippinen, in Mexiko und in Indien kompromittiert und mit Hintertüren versehen.

Den Angriffen liegt keine Sicherheitslücke in den Geräten zu Grunde, Angreifer benötigen gültige Admin-Zugänge, um Zugriff auf die Systeme zu erlangen. Dann überschreiben sie Teile der Firmware mit Schadcode mittels eines gängigen, gut dokumentierten Update-Features.

Angreifer benötigen gültige Admin-Passwörter

Die Cisco-Sicherheitsabteilung arbeitete mit FireEye zusammen, um den Angriff zu analysieren und zu verifizieren. Da keine Sicherheitslücke vorliegt, empfiehlt der Hersteller in einem entsprechenden Advisory grundsätzliche Maßnahmen zur Absicherung der Netzwerk-Hardware. Laut FireEye nutzen die Angreifer Standardpasswörter in den Cisco-Systemen oder haben die entsprechenden Passwörter auf anderen Wegen in Erfahrung gebracht. Cisco hält auch physischen Zugriff zu den Routern für einen plausiblen Angriffsweg.

Cisco-Geräte sind auf Grund ihres großen Marktanteils und ihrer hohen Verbreitung in Behörden, Firmen und anderen kritischen Einsatzgebieten ein beliebtes Ziel für Angriffe. dpa zitiert den FireEye-Chef David deWalt mit den Worten zu dem Angriff: "Wir haben so etwas noch nie gesehen". Seine Firma gehe davon aus, dass es noch mehr Opfer gebe.

FireEye spekuliert auf Grund der Qualität des Schadcodes darauf, dass staatliche Geheimdienste am Werk waren. Die Angreifer hätten ein hohes Verständnis der Cisco-Technik an den Tag gelegt und modularen Schadcode entwickelt, der im laufenden Betrieb mit neuen Funktionen versorgt werden könne. Eine genaue Beschreibung der Funktionen, die diese Module ausführen, bleibt der Bericht allerdings schuldig. (fab)