Οι υπάλληλοι της Cisco προειδοποιούν τους χρήστες για μια σειρά από επιθέσεις που κάνουν ολοκληρωτικό hijacking σε κρίσιμα εργαλεία δικτύωσης εναλλάσσοντας την έγκυρη εικόνα ROMMON του firmware με μια άλλη που έχει προηγουμένως τροποποιηθεί κακόβουλα.
Οι εισβολείς χρησιμοποιούν τα έγκυρα διαπιστευτήρια του administrator, κάτι που αποτελεί ένδειξη πως οι επιτιθέμενοι είναι είτε από insiders, είτε από κάποιους που κατάφεραν να πάρουν στα χέρια τους τα ιδιαίτερα ευαίσθητα credentials και κωδικούς που απαιτούνται για την ανανέωση και την πραγματοποίηση αλλαγών στο hardware της Cisco.
Mια σύντομη περιγραφή για το ROM monitor, ROMMON είναι το μέσο για την εκκίνηση του λειτουργικού συστήματος IOS της Cisco. Το χρησιμοποιούν οι διαχειριστές για να εκτελέσουν μια γκάμα εργασιών διαμόρφωσης, συμπεριλαμβανομένης της επαναφοράς χαμένων password, software downloading, και σε κάποιες περιπτώσεις την λειτουργία του ίδιου του δρομολογητή.
Σε συμβουλευτικό δελτίο της εταιρείας αναφέρεται:
Σε όλες τις περιπτώσεις θεωρήθηκε από την Cisco πως οι επιτιθέμενοι χρησιμοποιούν έγκυρα διαπιστευτήρια διαχειριστή και έπιτα χρησιμοποιούν την διαδικασία αναβάθμισης του πεδίου ROMMON για να εγκαταστήσουν κακόβουλο ROMMON. Όταν το κακόβουλο ROMMON εγκατασταθεί και η συσκευή IOS επανεκκινηθεί, ο εισβολέας είναι σε θέση να χειριστεί την συμπεριφορά της συσκευής. Η χρήση του κακόβουλου ROMMON εξασφαλίζει στον εισβολέα ένα επιπλέον πλεονέκτημα καθώς η μόλυνση θα «επιβιώσει» και μετά τo reboot.
Σε αυτή την επίθεση δεν τυγχάνει εκμετάλλευσης κάποια ευπάθεια του προϊόντος, και ο επιτιθέμενος απαιτεί έγκυρα credentials διαχειριστή ή φυσική πρόσβαση στο σύστημα ώστε να είναι επιτυχής η έκβαση της επίθεσης. Η ικανότητα της εγκατάστασης μιας αναβαθμισμένης εικόνας ROMMON σε συσκευές IOS, είναι ενα τυπικό και τεκμηριωμένο χαρακτηριστικό που χρησιμοποιούν οι διαχειριστές για να διαχειριζονται τα δίκτυά τους. Δεν θα ζητηθεί CVE ID.
Η σημασία του δελτίου, δεν είναι πως η αρχική firmware μπορεί να αντικατασταθεί, αλλά όπως αναφέρεται, αυτό είναι ένα τυπικό χαρακτηριστικό όχι μόνο των εργαλείων της Cisco αλλά κάθε υπολογιστικής συσκευής. Το σημαντικό είναι πως οι επιτιθέμενοι κατά κάποιο τρόπο καταφέρνουν να αποκτήσουν τα διαχειριστικά διαπιστευτήρια που απαιτούνται για να γίνουν μη εξουσιοδοτημένες αλλαγές που θα παραχωρήσουν τον έλεγχο του δικτύου.
