С 2021 года российские хакеры APT28, также известные как Fancy Bear и другие имена, используют старые непропатченные маршрутизаторы Cisco для операций с вредоносными программами.
В совместный консультативныйНациональный центр кибербезопасности Великобритании (NCSC), а также Агентство национальной безопасности США, Агентство кибербезопасности и безопасности инфраструктуры и ФБР изложили тактику эксплуатации APT28.
Уязвимость, которой воспользовались злоумышленники, CVE-2017-6742ошибка в реализации протокола SNMP (Simple Network Management Protocol), поставляемой с актуальной на тот момент версией программного обеспечения Cisco IOS XE.
Как только уязвимый маршрутизатор был скомпрометирован, SNMP также позволил злоумышленникам получить конфиденциальную информацию о сети за маршрутизатором.
«Ряд программных инструментов может сканировать всю сеть с помощью SNMP, а это означает, что плохая конфигурация, такая как использование по умолчанию или легко угадываемых строк сообщества, может сделать сеть уязвимой для атак», — говорится в консультативном заключении Великобритании.
«Слабые строки сообщества SNMP, в том числе «общедоступный» по умолчанию, позволили APT28 получить доступ к информации о маршрутизаторе. APT28 отправил дополнительные SNMP-команды для перечисления интерфейсов маршрутизатора».
Злоумышленники также перенастроили скомпрометированные устройства для использования протокола SNMP v2, который не поддерживает шифрование.
Затем злоумышленники развернули на маршрутизаторе вредоносное ПО под названием Jaguar Tooth, которое, по словам агентств, собирает информацию об устройстве, извлекает данные с использованием простого протокола передачи файлов и обеспечивает доступ через бэкдор без проверки подлинности.
Получив контроль над маршрутизатором, злоумышленники также смогли использовать интерфейс командной строки скомпрометированного устройства для обнаружения других устройств в сети с помощью протокола разрешения адресов (ARP).
В бюллетене Cisco от 2017 года не указаны аппаратные устройства, подверженные уязвимости, а скорее перечислено девять уязвимых информационных баз управления SNMP (MIB), и пользователям сообщается, что отключение этих MIB защитит маршрутизаторы.
Читать полную новость на сайте
