Raimund Genes, CTO de Trend Micro, escribió en el blog de su compañía unas reflexiones sobre este tipo de ataques de los que han sido víctimas algunos de los dispositivos Cisco. Se sospecha que un grupo de ataque llevó a cabo la ingeniería inversa en el firmware del router, implantando un código malicioso y logrando así el acceso a nivel de administrador.
La cantidad de direcciones IP afectadas alcanzó las 200 y se encuentran distribuidas en 35 países de todo el mundo.
Como Cisco mencionó en un blog explicando lo ocurrido, los ataques de red, hasta ahora, en gran medida se han limitado a campañas de denegación de servicio. Los ataques que utilizan la ingeniería inversa de código con el objetivo final de volver a grabar la imagen del firmware de un chip se han mantenido en el campo de lo teórico. Sin embargo, si se logran realizar de forma exitosa, representan una victoria significativa para el atacante. Para mostrar lo poderoso que este tipo de ataque puede ser, analicemos el trabajo de Charlie Miller y Chris Valasek. Volver a grabar la imagen de firmware de una clave de chip on-board les ayudó a infiltrarse en el centro neurálgico de la electrónica de un Jeep en 2014 durante un ataque que acaparó la atención de los medios y en el que se las arreglaron para hacerse con el control remoto de la dirección y los frenos del vehículo.
El backdoor SYNful Knock, en el que los atacantes efectivamente habían instalado una imagen maliciosa de IOS en el firmware, ha tenido repercusiones inmediatas menos graves que hacerse con el control remoto de un vehículo. Pero el backdoor ha dado a los atacantes persistencia y les ha permitido tener un nivel de acceso altamente privilegiado, con la capacidad de controlar todo el tráfico que entra y sale de un router comprometido.
SYNful Knock no explotaba ninguna vulnerabilidad de Cisco. Sólo fue posible debido a que los atacantes sabían cómo crackear fácilmente las contraseñas de los routers específicos. Si se trataba de todas las contraseñas por defecto, entonces únicamente los administradores de dichos routers serían los propios culpables. El consejo de mejor práctica para cualquier tipo de dispositivo IoT o conectado a Internet, debería ser cambiar inmediatamente las contraseñas que vienen de fábrica por defecto por credenciales complejas. Además, los empleados deben estar bien entrenados para ser capaces de detectar los intentos de ingeniería social a través del correo electrónico, redes sociales o plataformas de mensajería. Y las organizaciones deben contar con herramientas antiphishing y antimalware eficaces que se ejecuten en todo momento para reducir aún más el robo de información.
Hasta ahora, demasiados fabricantes de hardware se han basado en el concepto de “seguridad por ocultación”, ese antiguo precepto que sostiene que por lo general es demasiado difícil para los hackers realizar ingeniería inversa y atacar el kit propietario. Por lo menos, esta campaña de ataque debería decirle al mundo, una vez, más que se trata de un enfoque antiguo de la seguridad.
Los routers necesitan un nuevo switch de actualización física interna. ¿Recuerdan cómo las memorias USB solían tener un modo de “sólo lectura”? Bien, ¿cómo de difícil sería poner uno en la parte posterior de un router? Simplemente, basta con pulsar una vez para permitir el modo “sólo lectura” antes de una actualización y lo mismo para desactivarlo después. Fundamentalmente, esto significaría que los hackers necesitarían acceso físico a un dispositivo. Puede que no sea práctico para todas las organizaciones, sobre todo cuando quieren actualizar de forma remota, pero sería una buena opción a tener en cuenta para aquellos que operan en industrias altamente reguladas.
Más allá de esto, los fabricantes de routers necesitan firmar el firmware con cifrado de alta seguridad que luego sea comprobado por el chipset. Este anclaje es “la raíz de confianza” vital que garantiza que sólo el firmware creado por Cisco le permitirá arrancar. Esto podría haber impedido los ataques SYNful Knock, porque cuando se insertó la nueva imagen modificada y el router se reiniciaba, se habría comprobado la firma digital y el cifrado adecuado (preferiblemente un algoritmo de firma digital de curva elíptica y RSA y esto combinado con SHA), al no verificarlo se negaría a aceptar la actualización del firmware.
¿Responderán los proveedores de hardware? Bueno, hasta que los suficientes clientes se quejen, probablemente no. Así que la pregunta que los CISO deben hacerse es: “¿están mis datos corporativos en riesgo?” Mientras tanto, probablemente sería prudente seguir el consejo de Cisco sobre la necesidad de reforzar estos dispositivos.
Compartir nota:
