Спонсируемые государством российские злоумышленники создали заказное вредоносное ПО и используют его против старых, непропатченных маршрутизаторов Cisco IOS (opens in a new tab), говорится в совместном американо-британском отчете.
Национальный центр кибербезопасности Великобритании (NCSC), Агентство США по кибербезопасности и безопасности инфраструктуры (CISA), Агентство национальной безопасности (АНБ) и Федеральное бюро расследований (ФБР) опубликовали отчет (открывается в новой вкладке), в котором утверждается, что что APT28, группа, предположительно связанная с Главным разведывательным управлением (ГРУ) Генштаба России, разработала специальное вредоносное ПО под кодовым названием «Зуб ягуара».
Это вредоносное ПО способно похищать конфиденциальные данные, проходящие через маршрутизатор, и позволяет злоумышленникам получить доступ к устройству через черный ход без проверки подлинности.
кража данных
Злоумышленники сначала сканируют общедоступные маршрутизаторы Cisco, используя слабые строки сообщества SNMP, такие как обычно используемая строка «общедоступная», сообщает BleepingComputer. Согласно сообщению, строки сообщества SNMP похожи на «учетные данные, которые позволяют любому, кто знает настроенную строку, запрашивать данные SNMP на устройстве».
Если они найдут допустимую строку сообщества SNMP, злоумышленники попытаются использовать CVE-2017-6742, уязвимость шестилетней давности, позволяющую удаленно выполнять код. Это позволяет им устанавливать вредоносное ПО Jaguar Tooth прямо в память маршрутизаторов Cisco.
«Jaguar Tooth — это непостоянное вредоносное ПО, нацеленное на маршрутизаторы Cisco IOS с прошивкой: C5350-ISM, выпуск 12.3 (6)», — говорится в бюллетене. «Он включает в себя функции для сбора информации об устройстве, которую он извлекает через TFTP, и позволяет осуществлять доступ через бэкдор без аутентификации. Было замечено, что он реализован и выполняется с использованием исправленной уязвимости SNMP CVE-2017-6742».
Затем вредоносная программа создаст новый процесс под названием «Service Policy Lock», который собирает все результаты этих команд CLI и собирает их через TFTP:
- показать текущую конфигурацию
- показать версию
- показать презентацию ip интерфейса
- показать арп
- показать соседей cdp
- показать дом
- показать IP-маршрут
- показать вспышку
Чтобы решить эту проблему, администраторы должны немедленно обновить прошивку своих маршрутизаторов Cisco. Кроме того, они могут переключаться с SNMP на NETCONF/RESTCONF на общедоступных маршрутизаторах. Если они не могут передать SNMP, они должны настроить списки разрешений и запретов, чтобы ограничить доступ к интерфейсу SNMP на маршрутизаторах, подключенных к Интернету. Кроме того, цепочка сообщества должна быть заменена чем-то более сильным.
В бюллетене также говорится, что администраторы должны отключить SNMP v2 или Telnet.
Через: BleepingComputer (открывается в новой вкладке)