Los expertos de seguridad de Mandiant y FireEye han alertado sobre un ataque a ruteadores Cisco 1841, 2811 y 3825 que implanta una versión modificada del firmware para proporcionar al atacante el acceso sin restricciones al ruteador.
El ataque puede afectar también a otros modelos de ruteadores Cisco con similitud en las funcionalidades principales y en el código base IOS.
El ataque ha sido denominado SYNful Knock, alguna vez concebido como un ataque sólo en teoría y que hoy ha sido descubierto en la práctica en varias organizaciones y países.
Ya se ha confirmado la existencia de al menos 14 implantes en la India, México, Filipinas y Ucrania. Aunque se han descubierto infecciones en todo el mundo, en al menos 79 dispositivos en 19 países, la mayoría en Estados Unidos donde se han descubierto 25 dispositivos infectados por SYNful Knock.
Synful Knock es una imagen modificada del firmware del ruteador Cisco que facilita el acceso sin restricciones al atacante usando una contraseña de puerta trasera a la consola y a Telnet. También permite al atacante cargar de forma anónima hasta 100 módulos funcionales adaptables para un objetivo específico.
El implante se carga cada vez que se reinicia el ruteador, lo que no sucede con los módulos cargados por el atacante ya que sólo existirán en la memoria volátil del ruteador.
SYNful Knock es el primero de muchas posibles técnicas de implante en ruteador y se prevé que métodos de ataques similares sean cada vez más frecuentes y sofisticados.
Además de los detalles de SYNful Knock, los expertos de Mandiant y FireEye también han referido los métodos de detección y eliminación del ataque.