ABD, İngiltere ve Cisco, Rus devlet destekli APT28 bilgisayar korsanlarının ‘Jaguar Tooth’ adlı özel bir kötü amaçlı yazılımı Cisco IOS yönlendiricilerine dağıtarak cihaza kimliği doğrulanmamış erişime izin verdiği konusunda uyarıda bulunuyor.
Fancy Bear, STRONTIUM, Sednit ve Sofacy olarak da bilinen APT28, Rusya Genelkurmay Ana İstihbarat Müdürlüğü’ne (GRU) bağlı devlet destekli bir bilgisayar korsanlığı grubudur. Bu bilgisayar korsanlığı grubu, Avrupa ve ABD çıkarlarına yönelik çok çeşitli saldırılara atfedildi ve siber casusluk yapmak için sıfırıncı gün istismarlarını kötüye kullandığı biliniyor.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), NSA ve FBI tarafından bugün yayınlanan ortak bir rapor, APT28 bilgisayar korsanlarının Cisco IOS yönlendiricilerindeki eski bir SNMP kusurunu dağıtmak için nasıl kullandıklarını ayrıntılarıyla açıklıyor. ‘Jaguar Tooth’ adlı özel bir kötü amaçlı yazılım.
Özel Cisco IOS yönlendirici kötü amaçlı yazılımı
Jaguar Tooth, daha eski üretici yazılımı sürümlerini çalıştıran Cisco yönlendiricilerinin belleğine doğrudan enjekte edilen kötü amaçlı bir yazılımdır. Kötü amaçlı yazılım yüklendikten sonra yönlendiriciden bilgi sızdırır ve cihaza kimliği doğrulanmamış arka kapı erişimi sağlar.
NCSC danışma belgesi, “Jaguar Tooth, üretici yazılımı çalıştıran Cisco IOS yönlendiricilerini hedefleyen kalıcı olmayan bir kötü amaçlı yazılımdır: C5350-ISM, Sürüm 12.3(6),” uyarısında bulunur.
“TFTP üzerinden sızdırdığı cihaz bilgilerini toplama işlevi içerir ve kimliği doğrulanmamış arka kapı erişimi sağlar. Yamalı SNMP güvenlik açığı CVE-2017-6742’nin kullanılması yoluyla dağıtıldığı ve yürütüldüğü gözlemlendi.”
Kötü amaçlı yazılımı yüklemek için tehdit aktörleri, yaygın olarak kullanılan ‘genel’ dize gibi zayıf SNMP topluluk dizelerini kullanarak genel Cisco yönlendiricilerini tarar. SNMP topluluk dizeleri, yapılandırılmış dizeyi bilen herkesin bir cihazda SNMP verilerini sorgulamasına izin veren kimlik bilgileri gibidir.
Geçerli bir SNMP topluluk dizisi keşfedilirse, tehdit aktörleri Haziran 2017’de giderilen CVE-2017-6742 SNMP güvenlik açığından yararlanır. Bu güvenlik açığı, herkese açık yararlanma koduna sahip, kimliği doğrulanmamış, uzaktan kod yürütme hatasıdır.
Tehdit aktörleri Cisco yönlendiriciye eriştiğinde, özel, kalıcı olmayan Jaguar Tooth kötü amaçlı yazılımını yüklemek için belleğine yama uygular.
NCSC kötü amaçlı yazılım analizi raporu, “Bu, Telnet veya fiziksel oturum aracılığıyla bağlanırken sağlanan parolayı kontrol etmeden mevcut yerel hesaplara erişim izni veriyor” diye açıklıyor.
Ek olarak, kötü amaçlı yazılım, aşağıdaki Komut Satırı Arayüzü (CLI) komutlarının çıktısını toplayan ve TFTP kullanarak dışarı sızdıran ‘Hizmet Politikası Kilidi’ adlı yeni bir işlem oluşturur:
- çalışan yapılandırmayı göster
- versiyonu göster
- ip arayüzü özetini göster
- arp’ı göster
- cdp komşularını göster
- başlangıcı göster
- ip yolunu göster
- flaşı göster
Tüm Cisco yöneticileri, bu saldırıları azaltmak için yönlendiricilerini en son üretici yazılımına yükseltmelidir.
Cisco ayrıca, daha sağlam güvenlik ve işlevsellik sunduğundan, uzaktan yönetim için genel yönlendiricilerde SNMP’den NETCONF/RESTCONF’a geçiş yapılmasını önerir.
SNMP gerekliyse, yöneticiler izin verme ve reddetme listelerini, herkese açık yönlendiricilerde SNMP arabirimine kimlerin erişebileceğini kısıtlamak için yapılandırmalı ve topluluk dizesi, yeterince güçlü, rastgele bir dizeye değiştirilmelidir.
CISA ayrıca, bu protokoller kimlik bilgilerinin şifrelenmemiş trafikten çalınmasına izin verebileceğinden, Cisco yönlendiricilerinde SNMP v2 veya Telnet’in devre dışı bırakılmasını önerir.
Son olarak, bir cihazın güvenliğinin ihlal edildiğinden şüpheleniliyorsa, CISA, IOS görüntüsünün bütünlüğünün doğrulanması, cihazla ilişkili tüm anahtarların iptal edilmesi ve eski anahtarların yeniden kullanılmaması ve görüntülerin doğrudan Cisco’dan alınanlarla değiştirilmesi için Cisco’nun tavsiyelerinin kullanılmasını önerir.
Hedeflerde bir kayma
Bugünün tavsiye belgesi, devlet destekli tehdit aktörleri arasında siber casusluk ve gözetleme yapmak üzere ağ aygıtları için özel kötü amaçlı yazılım oluşturmaya yönelik artan bir eğilimin altını çiziyor.
Mart ayında Fortinet ve Mandiant, Çinli bilgisayar korsanlarının devlet kurumlarına yönelik bir dizi saldırıda özel kötü amaçlı yazılımlarla savunmasız Fortinet cihazlarını hedeflediklerini açıkladı.
Yine Mart ayında Mandiant, açıktaki SonicWall cihazlarına özel kötü amaçlı yazılım yükleyen şüpheli bir Çin bilgisayar korsanlığı kampanyası bildirdi.
Uç ağ cihazları, Uç Nokta Algılama ve Yanıt (EDR) çözümlerini desteklemediğinden, tehdit aktörleri için popüler bir hedef haline geliyor.
Ayrıca, neredeyse tüm kurumsal ağ trafiğinin içlerinden aktığı kenarda oturdukları için, ağ trafiğini izlemek ve bir ağa daha fazla erişim için kimlik bilgilerini toplamak için çekici hedeflerdir.