Connect with us

Opinión

Ataques de estilo SYNful Knock a routers: ¿camino de convertirse en algo normal?

Publicado el

Raimund Genes

Raimund Genes, CTO de Trend Micro.

Cisco ha pasado un mal momento últimamente. Se supo que un grupo de ataque –se piensa que apoyado por el Estado- llevó a cabo un ataque de ingeniería inversa en el firmware del router para flash de una nueva imagen maliciosa, logrando así el acceso a nivel de administrador. El volumen de las direcciones IP afectadas alcanza las 200 en el momento en que se escribe este texto y se encuentran en 35 países de todo el mundo. Es seguro decir que éste ha ido más allá del ámbito de un ataque menor. De hecho, es algo que los investigadores han demostrado desde hace algún tiempo.

La pregunta es, ¿qué sucederá después probablemente? ¿Podemos esperar que Cisco y otros rediseñen su kit como respuesta? No cuente con ello.

De la teoría a la realidad

Como Cisco mencionó en un blog explicando lo ocurrido, los ataques de red, hasta ahora, en gran medida se han limitado a campañas de denegación de servicio. Los ataques que utilizan la ingeniería inversa de código con el objetivo final de volver a grabar la imagen del firmware de un chip se han mantenido en el campo de lo teórico. Sin embargo, si se logra, representa una victoria significativa para el atacante. Para mostrar lo poderoso que este tipo de ataque puede ser, vamos a tener en cuenta el trabajo de Charlie Miller y Chris Valasek. Volver a grabar la imagen de firmware de una clave de chip on-board les ayudó a infiltrarse en el centro neurálgico de la electrónica de un Jeep en 2014 durante un ataque que acaparó la atención de los medios y en el que se las arreglaron para hacerse con el control remoto de la dirección y los frenos del vehículo.

El backdoor SYNful Knock -en el que los atacantes efectivamente habían instalado una imagen maliciosa de IOS en el firmware- ha tenido repercusiones inmediatas menos graves que hacerse con el control remoto de un vehículo. Pero el backdoor ha dado a los atacantes persistencia y les ha permitido tener un nivel de acceso altamente privilegiado –con la capacidad de controlar todo el tráfico que entra y sale de un router comprometido.

Para ser justos con Cisco, SYNful Knock no explotaba una vulnerabilidad. De hecho, sólo fue posible debido a que los atacantes sabían o podían crackear fácilmente las contraseñas de los routers específicos. Si se trataba de todas las contraseñas por defecto, entonces únicamente los administradores de dichos routers serían los propios culpables. El consejo de mejor práctica para cualquier tipo de dispositivo IoT o conectado a Internet, debería ser cambiar inmediatamente las contraseñas que vienen de fábrica por defecto por credenciales complejas. Los empleados deben estar bien entrenados para ser capaces de detectar los intentos de ingeniería social a través del correo electrónico, redes sociales o plataformas de mensajería. Y las organizaciones deben contar con herramientas antiphishing y antimalware eficaces que se ejecuten en todo momento para reducir aún más el robo de información.

¿Qué es lo próximo?

Pero el hecho permanece -el firmware era actualizable de forma remota. Y eso es un problema para Cisco y para el resto de los principales fabricantes de routers sobre el que tienen que reflexionar. Hasta ahora, demasiados fabricantes de hardware se han basado en el concepto de «seguridad por ocultación» -ese antiguo precepto que sostiene que por lo general es demasiado difícil para los hackers realizar ingeniería inversa y atacar el kit propietario. Por lo menos, esta campaña de ataque debería decirle al mundo, una vez, más que se trata de un enfoque antiguo de la seguridad.

Yo diría que los routers necesitan un nuevo switch de actualización física interna. ¿Recuerda cómo las memorias USB solían tener un modo de “sólo lectura”? Bien, ¿cómo de difícil sería poner uno en la parte posterior de un router? Simplemente, basta con pulsar una vez para permitir el modo «sólo lectura» antes de una actualización y lo mismo para desactivarlo después. Fundamentalmente, esto significaría que los hackers necesitan acceso físico a un dispositivo. Puede que no sea práctico para todas las organizaciones, sobre todo cuando quieren actualizar de forma remota, pero sería una buena opción a tener en cuenta para aquellos que operan en industrias altamente reguladas.

Pero más allá de esto, los fabricantes de routers necesitan firmar el firmware con cifrado de alta seguridad que luego es comprobado por el chipset que hay detrás. Este anclaje es «la raíz de confianza» vital que garantiza que sólo el firmware creado por Cisco le permitirá arrancar. Esto podría haber impedido los ataques SYNful Knock, porque cuando se insertó la nueva imagen modificada y el router se reiniciaba, se habría comprobado la firma digital y el cifrado adecuado (preferiblemente un algoritmo de firma digital de curva elíptica y RSA -y esto combinado con SHA), no encontrado, negándose a aceptar la actualización del firmware.

¿Responderán los proveedores de hardware? Bueno, hasta que los clientes suficientes se quejen, probablemente no. Así que la pregunta que los CISO deben hacerse es: «¿están mis datos corporativos en riesgo?» Mientras tanto, probablemente sería prudente seguir el consejo de Cisco sobre la necesidad de reforzar estos dispositivos.

El equipo de profesionales de MCPRO se encarga de publicar diariamente la información que interesa al sector profesional TI.

Advertisement
Advertisement

Lo más leído