Cisco habló sobre los atacantes que permitieron potencialmente el acceso indefinido a un dispositivo Cisco IOS. Después de tener acceso, los atacantes reemplazaron el IOS ROMMON con una imagen ROMMON malintencionada.

Cisco emitió una advertencia oficial acerca de los ataques, los cuales resultaron en la obtención y potencialmente conservación del acceso administrativo al sistema operativo IOS de ciertos dispositivos Cisco por tiempo indefinido.

 "Cisco ha observado un número limitado de casos donde atacantes, después de obtener acceso administrativo o físico al Cisco IOS de un dispositivo, remplazaron el Cisco IOS ROMMON (el Bootstrap de IOS, es decir, la comprobación de hardware) con una imagen de ROMMON maliciosa," explica el comunicado. 

"En todos los casos vistos por Cisco, los atacantes tuvieron acceso a los dispositivos usando credenciales administrativas válidas y luego usaron el proceso de actualización de campo de ROMMON para instalar el ROMMON malicioso. Una vez que el ROMMON fue instalado y el dispositivo IOS reiniciado, el atacante fue capaz de manipular el comportamiento del dispositivo. Utilizar un ROMMON malicioso provee a los atacantes una ventaja adicional ya que la infección será persistente a través del reinicio."

El problema con la detención de estos ataque es que Cisco no puede eliminar la función de instalación de una imagen actualizada del ROMMON en dispositivos IOS, ya que los administradores usualmente utilizan esta característica para llevar a cabo diversas tareas.

La intrusión fue claramente realizada por atacantes relativamente sofisticados, no sólo tienen que averiguar las credenciales administrativas válidas necesarias (sigue sin saberse cómo), sino que también son capaces de crear una imagen ROMMON maliciosa.

Cisco recomienda a los administradores revisar la información con la intención de prevenir y detectar este ataque u otros, así como para remediar posibles afectaciones a dispositivos IOS de Cisco especificados en los documentos vinculados en el comunicado.