網(wǎng)絡(luò )設備廠(chǎng)商思科(Cisco)發(fā)布安全通告表示,已發(fā)現有駭客針對該公司的網(wǎng)絡(luò )設備平臺IOS(Internetwork Operating System)發(fā)動(dòng)攻擊,駭客以惡意程式替換IOS的啟動(dòng)程式,進(jìn)一步控制這些網(wǎng)絡(luò )設備。
IOS整合了路由器、交換器、網(wǎng)絡(luò ),及電信等功能,屬于多工作業(yè)系統,現為多數思科路由器及網(wǎng)絡(luò )交換器的主要平臺。而駭客則是把IOS中用來(lái)儲存啟動(dòng)程式的唯讀記憶體監控模式(ROM Monitor mode,ROMMON)換成惡意的ROMMON影像。
思科說(shuō),他們已發(fā)現少數的攻擊行動(dòng),但所有的攻擊事件中,駭客都必須通過(guò)有效的管理員憑證取得裝置的存取權,再通過(guò)升級程序來(lái)安裝惡意的ROMMON,一旦安裝惡意ROMMON并重新啟動(dòng)裝置后,駭客就能操縱裝置的功能。由于駭客入侵的是ROMMON,因此每次重啟裝置都會(huì )被感染。
ROMMON的更新屬于IOS的標準功能,且成功的攻擊要求有效的管理員憑證與實(shí)際存取系統,因此思科認為相關(guān)攻擊與漏洞無(wú)關(guān),亦未被賦予任何的漏洞編號。
思科建議用戶(hù)可參考各種有關(guān)Cisco IOS的文件,以了解如何偵測或避免針對Cisco IOS裝置的攻擊行動(dòng)與各種威脅型態(tài),也應確保Cisco IOS裝置的操作程序不被濫用。
