ABD, İngiltere ve Cisco, Cisco IOS yönlendiricilerine 'Jaguar Diş' adlı özel bir kötü amaçlı yazılım kullanan Rus devlet destekli APT28 hackerlarının, cihaza yetkisiz erişime izin verdiğini uyarıyor.
Fancy Bear, Strontium, Sednit ve Sofacy olarak da bilinen Apt28, Rusya'nın Genel Personel Ana İstihbarat Müdürlüğü'ne (GRU) bağlı devlet destekli bir hack grubudur. Bu hack grubu, Avrupa ve ABD çıkarlarına yönelik çok çeşitli saldırılara bağlanmıştır ve siber casusluk yapmak için sıfır gün istismarlarını kötüye kullandığı bilinmektedir.
Bugün İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), NSA ve FBI tarafından yayınlanan ortak bir rapor, APT28 hackerlarının Cisco IOS yönlendiricilerinde eski bir SNMP kusurunu nasıl kullandığını detaylandırıyor 'Jaguar Diş' adlı özel bir kötü amaçlı yazılım.
Jaguar Tooth, daha eski ürün yazılımı sürümlerini çalıştıran Cisco yönlendiricilerinin anısına doğrudan enjekte edilir. Kurulduktan sonra, kötü amaçlı yazılım yönlendiriciden bilgileri ortaya çıkarır ve cihaza kimlik doğrulanmamış arka kapı erişimi sağlar.
"Jaguar Tooth, Cisco IOS yönlendiricilerini çalıştıran ürün yazılımını hedefleyen saygın olmayan kötü amaçlı yazılımdır: C5350-ism, sürüm 12.3 (6)," diye uyarıyor NCSC Danışmanlığı.
"TFTP üzerinden pefiltrat ettiği ve kimlik doğrulanmamış arka kapı erişimini sağlayan cihaz bilgilerini toplamak için işlevselliği içerir. Yamalı SNMP güvenlik açığı CVE-2017-674'ün sömürülmesi yoluyla dağıtıldığı ve yürütüldüğü gözlemlenmiştir."
Kötü amaçlı yazılımları yüklemek için, tehdit aktörleri, yaygın olarak kullanılan 'genel' dizesi gibi zayıf SNMP topluluk dizeleri kullanarak genel Cisco yönlendiricileri için tarar. SNMP topluluk dizeleri, yapılandırılmış dizeyi bilen herkesin bir cihazdaki SNMP verilerini sorgulamasına izin veren kimlik bilgileri gibidir.
Geçerli bir SNMP topluluk dizesi keşfedilirse, tehdit aktörleri Haziran 2017'de düzeltilen CVE-2017-6742 SNMP güvenlik açığından yararlanır. Bu güvenlik açığı, kamuya açık bir şekilde kullanılmayan bir şekilde kullanılabilir, uzaktan kod yürütme kusurudur.
Tehdit aktörleri Cisco yönlendiricisine eriştikten sonra, özel, saygın olmayan Jaguar diş kötü amaçlı yazılımını kurmak için hafızasını yamalayın.
NCSC kötü amaçlı yazılım analiz raporunu, "Bu, telnet veya fiziksel oturum üzerinden bağlanırken sağlanan şifreyi kontrol etmeden mevcut yerel hesaplara erişim sağlar."
Buna ek olarak, kötü amaçlı yazılım, çıktıyı aşağıdaki komut satırı arabiriminden (CLI) komutlarından toplayan ve TFTP kullanarak pefiltrat eden yeni bir işlem oluşturur:
Tüm Cisco yöneticileri, bu saldırıları azaltmak için yönlendiricilerini en son ürün yazılımına yükseltmelidir.
Cisco ayrıca, daha sağlam güvenlik ve işlevsellik sunduğu için uzaktan yönetim için genel yönlendiricilerde SNMP'den NetConf/RestConf'a geçiş yapmayı önerir.
SNMP gerekiyorsa, yöneticiler kamuya açık yönlendiricilerde SNMP arayüzüne kimin erişebileceğini kısıtlamak için izin vermeli ve listeleri reddetmeli ve topluluk dizesi yeterince güçlü, rastgele bir dize olarak değiştirilmelidir.
CISA ayrıca Cisco yönlendiricilerindeki SNMP V2 veya Telnet'i devre dışı bırakmanızı önerir, çünkü bu protokoller kimlik bilgilerinin şifrelenmemiş trafikten çalınmasına izin verebilir.
Son olarak, bir cihazın tehlikeye atıldığından şüpheleniliyorsa, CISA, iOS görüntüsünün bütünlüğünü doğrulamak, cihazla ilişkili tüm anahtarları iptal etmek ve eski anahtarları yeniden kullanmamak ve görüntüleri doğrudan Cisco'dan değiştirmek için Cisco'nun tavsiyesini kullanmanızı önerir.
Bugünün danışmanlığı, devlet destekli tehdit aktörleri arasında, ağ cihazlarının siber casusluk ve gözetim gerçekleştirmesi için özel kötü amaçlı yazılımlar oluşturmak için artan bir eğilimi vurgulamaktadır.
Mart ayında Fortinet ve Mantiant, Çinli bilgisayar korsanlarının devlet kuruluşlarına yönelik bir dizi saldırıda özel kötü amaçlı yazılımlarla savunmasız Fortinet cihazlarını hedef aldığını açıkladı.
Ayrıca Mart ayında Mantiant, maruz kalan Sonicwall cihazlarına özel kötü amaçlı yazılım kuran şüpheli bir Çin hack kampanyası hakkında rapor verdi.
Edge Network cihazları uç nokta algılama ve yanıt (EDR) çözümlerini desteklemediğinden, tehdit aktörleri için popüler bir hedef haline geliyorlar.
Ayrıca, bunlardan hemen hemen tüm kurumsal ağ trafiği ile kenarda oturduklarında, ağ trafiğini desteklemek ve bir ağa daha fazla erişim için kimlik bilgileri toplamak için cazip hedeflerdir.
Microsoft, Outlook Zero Day Sömürü algılamaya ilişkin ipuçlarını paylaşıyor
Kış Vivern APT Hacker'ları kötü amaçlı yazılım yüklemek için sahte antivirüs taramaları kullanır
Microsoft, Nisan 2022'den bu yana Rus hackerlar tarafından kullanılan Outlook Zero Day'i düzeltiyor
RCE saldırılarına maruz kalan 19.000'den fazla yaşam sonu Cisco yönlendiricisi
Cisco, EOL yönlendiricilerinde kamuya açık istismar ile auth bypass hatasını uyarıyor
Kaynak: Bleeping Computer