Cisco SystemsはIOSソフトウェアプラットフォームを狙った攻撃を確認し、注意を呼びかけている。攻撃者は管理者権限又は物理的にIOSデバイスにアクセスし、 IOS ROMMONを悪質な悪質なROMMONイメージに書き換えていた。
同社によると、攻撃者は有効な管理者ログイン情報を使ってROMMONフィールドアップグレードプロセスを使用し、悪質なROMMONをインストールしていた。一度悪質なROMMONがインストールされると、IOSが再起動されることで攻撃者はデバイスを制御できるようになってしまう。そして、感染は再起動により継続されるためROMMONが利用されている。
今回の攻撃では脆弱性が悪用されているわけではなく、攻撃者がシステムへのアクセスを成功させるためには有効な管理者権限やシステムへの物理的なアクセスが必要となる。 IOSデバイスへのROMMONイメージのアップグレードは管理者がネットワーク管理に使用している標準機能で、CVE IDは割当てられていない。
CiscoはROMMON攻撃を含むIOSデバイスの脅威に関する技術文書を公開し、攻撃に対する防止、検知などの方法を公開している。同社は、Cisco IOSデバイスのユーザに脅威のタイプを理解するためにもこれらの文書に目を通すよう推奨している。
