İngiltere ve ABD siber güvenlik ve istihbarat teşkilatları, Rus ulus devlet aktörlerinin keşif yapmak ve hedeflere kötü amaçlı yazılım dağıtmak için Cisco’nun ağ ekipmanlarındaki artık yamalanmış kusurları kullandığı konusunda uyardı.
Yetkililere göre izinsiz girişler 2021’de gerçekleşti ve Avrupa’daki az sayıda kuruluşu, ABD hükümet kurumlarını ve yaklaşık 250 Ukraynalı kurbanı hedef aldı.
Faaliyet, Fancy Bear, Forest Blizzard (eski adıyla Strontium), FROZENLAKE ve Sofacy olarak da bilinen ve Rusya Genelkurmay Ana İstihbarat Müdürlüğü’ne (GRU) bağlı APT28 olarak izlenen bir tehdit aktörüne atfedildi.
Ulusal Siber Güvenlik Merkezi (NCSC), “APT28’in varsayılan ve zayıf SNMP topluluk dizelerini kullanarak ve CVE-2017-6742’den yararlanarak savunmasız yönlendiricilere eriştiği biliniyor.”
CVE-2017-6742 (CVSS puanı: 8.8), Cisco IOS ve IOS XE Yazılımındaki Basit Ağ Yönetimi Protokolü (SNMP) alt sistemindeki arabellek taşması durumundan kaynaklanan bir dizi uzaktan kod yürütme kusurunun parçasıdır.
Teşkilatlar tarafından gözlemlenen saldırılarda, tehdit aktörü, cihaz bilgilerini toplayabilen ve kimliği doğrulanmamış arka kapı erişimini etkinleştirebilen Jaguar Tooth adlı kalıcı olmayan bir kötü amaçlı yazılımı Cisco yönlendiricilerine dağıtmak için güvenlik açığını silahlandırdı.
Sorunlar Haziran 2017’de yamalanmış olsa da, o zamandan beri 11 Ocak 2018 itibarıyla kamuya açık hale geldi ve bu da saldırı yüzeyini sınırlamak için sağlam yama yönetimi uygulamalarına duyulan ihtiyacın altını çizdi.
Şirket, potansiyel tehditleri azaltmak için en son üretici yazılımına güncellemenin yanı sıra, kullanıcılara ağ yönetimi için SNMP’den NETCONF veya RESTCONF’a geçmelerini de tavsiye ediyor.
Cisco Talos, koordineli bir danışma belgesinde, saldırıların “ileri casusluk hedefleri veya gelecekteki yıkıcı faaliyetler için ön pozisyon” için çeşitli satıcılardan eskiyen ağ araçlarına ve yazılımlarına karşı daha geniş bir kampanyanın parçası olduğunu söyledi.
Karanlık Web İstihbarat Toplama Sanatında Ustalaşın
Karanlık ağdan tehdit istihbaratı elde etme sanatını öğrenin – Uzmanlar tarafından yönetilen bu web seminerine katılın!
Koltuğumu Kurtar!
Buna kötü amaçlı yazılımların bir altyapı cihazına yüklenmesi, ağ trafiğini gözetleme girişimleri ve “kimlik bilgilerini almak için TACACS+/RADIUS sunucularını hedefleyen dahili ortamlara önceden erişimi olan düşmanlar” tarafından yapılan saldırılar dahildir.
Uyarı, ABD hükümetinin, en az 2020’den beri kamu ve özel sektör kuruluşlarını istismar etmek için ağ güvenlik açıklarından yararlanan Çin merkezli devlet destekli siber aktörler hakkında alarm çalmasından aylar sonra geliyor.
Daha sonra bu yılın başlarında, Google’ın sahibi olduğu Mandiant, Çinli devlet destekli tehdit aktörlerinin savunmasız Fortinet ve SonicWall cihazlarına ısmarlama kötü amaçlı yazılım dağıtma çabalarını vurguladı.