23 de mai. de 2010

IOS Trojan - Quem é o dono de seu Router ?


Lendo o comentário do Gustavo (Coruja de TI) sobre o uso de TCL Script para criar Trojans no IOS, resolvi dedicar mais este post sobre Segurança em Roteadores Cisco.

A partir da versão 12.3(2)T, o IOS adotou como linguagem de Script o TCL, o qual permite escrever rotinas que automatizam uma série de tarefas. A partir dai, um router passa a ser capaz de mandar um e-mail, gravar arquivos e muito mais de forma automática.

Mas, como tudo que o homem cria pode ser usado para o bem ou para o mal, pode-se usar o TCL para ocultar arquivos na Flash, criar um túnel GRE para ser usado como backdoor, substituir SSH por Telnet em conexões remotas e sabe lá Deus o que mais. É muito mais fácil construir um script e grava-lo no router do que ter que fazer a Engenharia reversa do Código do IOS em Assembly e altera-lo para produzir Trojans !

No link abaixo, encontramos uma "Prova de Conceito" sobre o assunto, onde o autor explica o uso dos comandos TCL e constrói um Trojan passo-a-passo:

https://www.giac.org/certified_professionals/practicals/gcih/10863.php

Em Servidores e estações de trabalho, temos uma série de produtos para detectar e limpar Malwares. Mas, e em Roteadores e Swtches usando TCL Script ? Uma solução apontada é "assinar" os Scripts criados pela empresa para garantir que estes não foram alterados por um usuário mal intencionado. Confira em:

Scripting tcl secure-mode

E então, seus roteadores são mesmo seguros ???

Nenhum comentário:

Postar um comentário