Son zamanlarda, aşağıdaki kurumlar, Cisco IOS yönlendiricilerinde özel bir kötü amaçlı yazılım olan ‘Jaguar Tooth’u aktif olarak dağıttığı tespit edilen Rus devlet destekli bir grup olan APT28’e karşı uyarmak için ortak bir danışma belgesi yayınladı:-
- İngiltere Ulusal Siber Güvenlik Merkezi (NCSC)
- ABD Ulusal Güvenlik Teşkilatı (NSA)
- ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA)
- ABD Federal Soruşturma Bürosu (FBI)
Tehdit aktörleri, Cisco yönlendiricilerindeki Yamasız güvenlik açıklarından yararlanarak, herhangi bir kimlik doğrulaması olmadan hedef cihaza erişim elde eder.
Aşağıda, APT28’in diğer isimlerinden bahsetmiştik: –
- Süslü Ayı
- Stronsiyum
- piyon fırtınası
- Sednit Çetesi
- kanepe
Siber güvenlik analistleri ve uzmanları, devlet destekli bu bilgisayar korsanlığı grubunu Rusya Genelkurmay Ana İstihbarat Müdürlüğü’ne (GRU) bağladı.
Özel kötü amaçlı yazılım
Jaguar Tooth, doğrudan belleklerine virüs bulaştırarak eski aygıt yazılımı çalıştıran Cisco yönlendiricilerini hedefler. Kötü amaçlı yazılım ‘Jaguar Tooth’, güvenliği ihlal edilmiş yönlendiriciden veri alır ve bir arka kapı oluşturarak yetkisiz erişim sağlar.
APT28, Cisco tarafından 29 Haziran 2017’de duyurulan CVE-2017-6742’den yararlandı ve yamalı yazılım mevcuttu.
“Jaguar Tooth” kullanan bilgisayar korsanları, kötü amaçlı yazılımı yerleştirmek için genel yönlendiricileri “genel” gibi yaygın olarak kullanılan zayıf SNMP topluluk dizeleri için tarayarak aktif olarak savunmasız Cisco yönlendiricilerini arıyor.
Oturum açma kimlik bilgileri gibi, SNMP topluluk dizgileri de bir cihazdan SNMP verilerini çıkarabilen erişim kodları olarak işlev görür.
Saldırganlar, Cisco yönlendiricisine erişim sağladıktan sonra, belleğini manipüle eder ve kalıcı olmayan ve özelleştirilmiş bir kötü amaçlı yazılım olan ‘Jaguar Tooth’u yerleştirir.
Telnet kullanıyorsanız veya cihaza fiziksel olarak bağlanıyorsanız, mevcut yerel hesaplara şifre girmeden girebilirsiniz.
öneriler
Aşağıda, güvenlik uzmanlarının sunduğu tüm önerilerden bahsetmiştik:-
- Bu saldırıları azaltmak için Cisco yöneticileri, yönlendiricilerinin ürün yazılımını en son sürüme güncellemelidir.
- Uzaktan yönetim için genel yönlendiricilerde SNMP’den NETCONF/RESTCONF’a geçin.
- Herkese açık yönlendiriciler, SNMP gerekiyorsa izin verme ve reddetme listeleriyle yapılandırılmalıdır.
- Cisco yönlendiricilerinde SNMP v2 veya Telnet’i devre dışı bıraktığınızdan emin olun.
- Bir cihazın güvenliği ihlal edilmişse, cihazla ilişkili tüm anahtarların iptal edilebilmesi için IOS görüntüsünün bütünlüğünü doğrulayın.
Güvenlik açığı bulunan Cisco cihazları, bu danışma belgesindeki TTP’ler kullanılarak hâlâ kullanılabilir. Cisco, kuruluşların risk azaltma önerilerini izlemesini önerir.
Hepsi Bir Arada Çoklu İşletim Sistemi Yama Yönetimi Platformu Arıyor – Patch Manager Plus’ı Deneyin
Ayrıca Oku
NCSC, Yama Uygulanmamış Güvenlik Açıklarını Bulmak İçin Yeni Nmap Komut Dosyaları Yayınladı
Cisco IOS XR Yazılım Kusuru Uzaktaki Saldırganın Redis’e Erişmesine İzin Verin
Kritik Kusurlara Karşı Savunmasız Binlerce Yamasız Citrix Sunucusu
Yeni MuddyWater Kampanyası, Kötü Amaçlı Yazılımları Dağıtmak için Meşru Uzaktan Yönetim Araçlarını Kullanıyor
NetSupport RAT, Kurbanın Sistemine Kötü Amaçlı Yazılım Dağıtmak için Sosyal Mühendislik Araç Setlerini Kullanıyor
