美英警告:俄黑客組織在 Cisco 路由器部署惡意軟件
近日�,美國(guó)�、英國(guó)和思科警告由俄羅斯政府資助的 APT28 黑客在 Cisco IOS 路由器上部署名為“Jaguar Tooth”的自定義惡意軟件,允許未經(jīng)身份驗(yàn)證的設(shè)備訪問(wèn)��。
APT28,也稱為 Fancy Bear���、STRONTIUM�、Sednit 和 Sofacy���,是一個(gè)與俄羅斯總參謀部情報(bào)總局 (GRU) 有聯(lián)系的國(guó)家資助的黑客組織����。這個(gè)黑客組織由于對(duì)歐洲和美國(guó)利益的廣泛攻擊����,并且以濫用零日漏洞進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)而聞名。
在英國(guó)國(guó)家網(wǎng)絡(luò)安全中心 (NCSC)���、美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA)�����、美國(guó)國(guó)家安全局和聯(lián)邦調(diào)查局發(fā)布的一份聯(lián)合報(bào)告詳細(xì)介紹了 APT28 黑客如何利用Cisco IOS路由器上的舊SNMP 漏洞部署名為“Jaguar Tooth”的自定義惡意軟件�。
自定義 Cisco IOS 路由器惡意軟件
Jaguar Tooth 是一種惡意軟件�����,直接注入到運(yùn)行較舊固件版本的 Cisco 路由器的內(nèi)存中。安裝后�����,惡意軟件會(huì)從路由器中泄露信息�����,并提供對(duì)設(shè)備的未經(jīng)身份驗(yàn)證的后門(mén)訪問(wèn)�����。
NCSC公告警告說(shuō):“Jaguar Tooth是一種非持久性惡意軟件���,其目標(biāo)是運(yùn)行固件的 Cisco IOS 路由器:C5350-ISM,版本 12.3(6)�����。它包括收集設(shè)備信息的功能���,通過(guò) TFTP 泄露這些信息��,并啟用未經(jīng)身份驗(yàn)證的后門(mén)訪問(wèn)�����。據(jù)觀察�����,它是通過(guò)利用已修補(bǔ)的 SNMP 漏洞 CVE-2017-6742 進(jìn)行部署和執(zhí)行的�。”
為了安裝惡意軟件,威脅參與者使用弱 SNMP 社區(qū)字符串(例如常用的“公共”字符串)掃描公共 Cisco 路由器����。SNMP 社區(qū)字符串就像憑據(jù),允許知道配置字符串的任何人查詢?cè)O(shè)備上的 SNMP 數(shù)據(jù)���。
如果發(fā)現(xiàn)有效的 SNMP 社區(qū)字符串��,威脅參與者就會(huì)利用2017年6月修復(fù)的CVE-2017-6742 SNMP 漏洞��。此漏洞是一個(gè)未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行漏洞�,具有公開(kāi)可用的利用代碼���。
一旦攻擊者訪問(wèn)Cisco路由器����,他們就會(huì)修補(bǔ)其內(nèi)存以安裝自定義的非持久性Jaguar Tooth惡意軟件。
NCSC 惡意軟件分析報(bào)告解釋說(shuō):“當(dāng)通過(guò)Telnet或物理會(huì)話連接時(shí)����,這將授予對(duì)現(xiàn)有本地帳戶的訪問(wèn)權(quán)限,而無(wú)需檢查提供的密碼��。”
此外���,該惡意軟件創(chuàng)建了一個(gè)名為“Service Policy Lock”的新進(jìn)程��,該進(jìn)程收集以下命令行界面(CLI)命令的輸出并使用TFTP將其泄露:
• 顯示運(yùn)行配置
• 顯示版本
• 顯示 ip 界面簡(jiǎn)介
• 顯示arp
• 顯示 cdp 鄰居
• 演出開(kāi)始
• 顯示 ip 路由
• 顯示閃光
所有思科管理員都應(yīng)該將他們的路由器升級(jí)到最新的固件以減輕這些攻擊���。
Cisco建議在公共路由器上從 SNMP切換到 NETCONF/RESTCONF 以進(jìn)行遠(yuǎn)程管理�����,因?yàn)樗峁└鼜?qiáng)大的安全性和功能��。
如果需SNMP�,管理員應(yīng)配置允許和拒絕列表以限制誰(shuí)可以訪問(wèn)公開(kāi)路由器上的SNMP 接口,并且社區(qū)字符串應(yīng)更改為足夠強(qiáng)的隨機(jī)字符串��。
CISA 還建議在 Cisco 路由器上禁用 SNMP v2 或 Telnet��,因?yàn)檫@些協(xié)議可能允許從未加密的流量中竊取憑據(jù)。
最后�,如果懷疑某臺(tái)設(shè)備遭到入侵,CISA 建議使用 Cisco 的建議來(lái)驗(yàn)證 IOS 映像的完整性�,撤銷(xiāo)與該設(shè)備關(guān)聯(lián)的所有密鑰,不要重復(fù)使用舊密鑰���,并使用直接來(lái)自 Cisco 的映像替換映像�����。
目標(biāo)的轉(zhuǎn)變
公告強(qiáng)調(diào)了國(guó)家資助的威脅行為者為網(wǎng)絡(luò)設(shè)備創(chuàng)建自定義惡意軟件以進(jìn)行網(wǎng)絡(luò)間諜和監(jiān)視的趨勢(shì)�����。
由于邊緣網(wǎng)絡(luò)設(shè)備不支持端點(diǎn)檢測(cè)和響應(yīng) (EDR) 解決方案����,因此它們正成為威脅參與者的熱門(mén)目標(biāo)���。
此外�,由于它們位于邊緣����,幾乎所有企業(yè)網(wǎng)絡(luò)流量都流經(jīng)它們����,因此它們是監(jiān)視網(wǎng)絡(luò)流量和收集憑據(jù)以進(jìn)一步訪問(wèn)網(wǎng)絡(luò)的有吸引力的目標(biāo)��。
來(lái)源:E安全
在線咨詢
在線咨詢
0371-63319761