Rosyjscy hakerzy państwowi wykorzystują lukę w zabezpieczeniach 7-letniego routera Cisco

FBI i Cisco ostrzegają, że rosyjscy hakerzy wykorzystują 7-letnią lukę w zabezpieczeniach Cisco Smart Install w przestarzałych routerach i przełącznikach na całym świecie.

Według wspólnych ostrzeżeń FBI i Cisco Talos, tysiące przestarzałych urządzeń Cisco, które nie otrzymują już aktualizacji zabezpieczeń, padają ofiarą cybernetycznego szpiegostwa.

Sponsorowana przez państwo rosyjskie grupa o nazwie Static Tundra, śledzona także pod nazwami Dragonfly, Energetic Bear i Berserk Bear, wykorzystuje lukę w zabezpieczeniach, która pojawiła się siedem lat temu i której wiele organizacji nigdy nie załatało.

Luka CVE-2018-0171 dotyczy funkcji inteligentnej instalacji Cisco i umożliwia atakującym wykonanie kodu lub awarię urządzenia. Cisco rozwiązało ten problem w 2018 roku, ale wiele systemów pozostaje niezabezpieczonych, ponieważ albo nigdy nie zostały zaktualizowane, albo osiągnęły koniec cyklu życia (EOL) i nie otrzymują już poprawek. Urządzenia te, powszechnie wykorzystywane w telekomunikacji, przemyśle i szkolnictwie wyższym, stały się łatwym punktem wejścia dla jednej z najbardziej opornych jednostek wywiadowczych Rosji.

W kwietniu 2018 roku serwis Hackread.com poinformował , że atakujący wykorzystali lukę CVE-2018-0171 do ataku na przełączniki Cisco w centrach danych w Iranie i Rosji. Wykorzystując funkcję Smart Install, przejęli kontrolę nad urządzeniami i zastąpili obraz systemu iOS obrazem z flagą USA.

Static Tundra jest powiązana z Centrum 16 Federalnej Służby Bezpieczeństwa (FSB) i działa od ponad dekady. Naukowcy twierdzą, że grupa opracowała narzędzia automatyzacji do skanowania internetu, często korzystając z usług takich jak Shodan i Censys , w celu identyfikacji celów nadal korzystających z instalacji Smart Install.

Po naruszeniu bezpieczeństwa wykradają konfiguracje urządzeń, które często zawierają dane uwierzytelniające administratora i szczegóły dotyczące szerszej infrastruktury sieciowej, stając się punktem wyjścia do dalszych ataków.

FBI twierdzi, że zaobserwowało już wyciek danych konfiguracyjnych z tysięcy amerykańskich urządzeń w sektorach infrastruktury krytycznej. W niektórych przypadkach atakujący zmieniali ustawienia urządzeń, aby zachować dostęp do sieci, wykazując szczególne zainteresowanie systemami wspomagającymi zarządzanie sprzętem i operacjami przemysłowymi.

Static Tundra ma w swojej historii wdrażanie SYNful Knock , złośliwego oprogramowania dla routerów Cisco, udokumentowanego po raz pierwszy w 2015 roku. Oprogramowanie to jest odporne na restarty i umożliwia zdalny dostęp za pośrednictwem specjalnie opracowanych pakietów. Ponadto grupa wykorzystuje niezabezpieczone ciągi znaków SNMP community string, czasami nawet domyślne, takie jak „public”, do pobierania większej ilości danych lub przesyłania nowych poleceń do urządzeń.

Badacze Cisco Talos opisują operację jako „wysoce wyrafinowaną”, z dowodami, że zainfekowane urządzenia pozostają pod kontrolą atakujących przez lata. Ostrzegają, że Rosja nie jest jedynym krajem prowadzącym takie operacje, co oznacza, że każda organizacja z niezałatanym lub przestarzałym sprzętem sieciowym może być narażona na ryzyko ze strony wielu podmiotów państwowych.

„Ten alert FBI podkreśla, jak ważne jest zarówno bieżące aktualizowanie stanu zasobów (wiedza o tym, co jest dostępne dla atakujących), jak i ciągłe zachowywanie czujności w zakresie aktualizacji walut i zarządzania konfiguracją, aż do momentu odłączenia urządzenia od sieci” — powiedział Trey Ford , dyrektor ds. strategii i zaufania w firmie Bugcrowd, z siedzibą w San Francisco w Kalifornii, będącej liderem w dziedzinie cyberbezpieczeństwa opartego na crowdsourcingu.

„CVE (CVE-2018-0171), którego dotyczy problem, to luka umożliwiająca zdalne wykonanie kodu (RCE) o wysokim wskaźniku, podczas gdy w niektórych środowiskach (takich jak produkcja, telekomunikacja i inna infrastruktura krytyczna) mogą wystąpić opóźnienia w produkcji z powodu planowanych cykli wdrażania poprawek, to siedmioletnie opóźnienie w powszechnym wykorzystaniu tego rodzaju luki jest nieco zaskakujące” – dodał.

Zarówno FBI, jak i Cisco wydały stanowcze zalecenia. Organizacje powinny natychmiast zainstalować poprawki na urządzeniach, na których nadal działa funkcja Smart Install, lub wyłączyć tę funkcję, jeśli instalacja poprawek nie jest już możliwa.

W przypadku starszego, nieobsługiwanego sprzętu Cisco zaleca planowanie wymiany, ponieważ urządzenia te nigdy nie zostaną naprawione. Administratorzy ds. cyberbezpieczeństwa powinni monitorować pod kątem podejrzanych zmian w konfiguracji, nietypowego ruchu SNMP i niewyjaśnionej aktywności TFTP, które są częstymi oznakami tej kampanii.

FBI zachęca również wszystkie osoby, które podejrzewają, że ich systemy mogły stać się celem ataku, do zgłaszania swoich ustaleń za pośrednictwem Centrum Zgłaszania Przestępstw Internetowych.