Sebastian Muñiz de Core Security Technologies http://www.coresecurity.com ha desarrollado un rootkit que puede trabajar sobre diferentes versiones del Internetwork Operating System de Cisco. Lo ha presentado esta misma tarde en EUSecWest 2008

http://www.eusecwest.com/agenda.html

"The rootkit runs in the router’s flash memory, which contains the first commands that it uses to boot up" dijo Dragos Ruiu, uno de los organizadores de EuSecWest 2008.

Hay que destacar que esto no supone ningún problema de seguridad en cuanto a que no permite vulnerar un router Cisco. El atacante necesita previamente tener otro vector de ataque o usuario y contraseña de administrador del router para instalar el rootkit en el router.

Sebastian Muñiz no tiene pensado hacer público el código fuente para evitar problemas similares a los que tuvo Michael Lynn en las BlackHat USA 2005.

Respuesta de Cisco actualizada a 22 de Mayo del 2008:
http://www.cisco.com/en/US/products/products_security_response09186a0080997783.html
http://www.cisco.com/warp/public/707/cisco-sr-20080516-rootkits.pdf


Intentaré colgar la presentación cuando la consiga; de momento dejo una investigación del FBI sobre routers Cisco desclasificada recientemente:

http://www.donkeyonawaffle.org/OMB%20briefing%202008%2001%2011%20a.ppt