Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), ağ savunucularının Çin Halk Cumhuriyeti ile bağlantılı gelişmiş kalıcı tehdit (APT) aktörlerinin faaliyetlerini tespit etmeleri, avlamaları ve azaltması için tasarlanmış kapsamlı bir siber güvenlik danışmanlığı (CSA) tanıttı.
Ulusal Güvenlik Ajansı (NSA), Federal Soruşturma Bürosu (FBI) ve Avustralya, Kanada, Birleşik Krallık ve ötesindeki Müttefik Ortaklar ile koordineli bir çaba göstererek, bu rehber teknik gözlemleri, uzlaşma göstergelerini (IOC’ler) ve kritik telekomünikasyon, hükümet, taşıma ve konaklama dünyası dünyası önerilerini sentezler.
CISA’nın rehberi, küresel ağlara uzun vadeli, kalıcı erişim elde etmek için omurga yönlendiricileri ve sağlayıcı kenar cihazlarında bilinen güvenlik açıklarından sistematik olarak kullanan Salt Typhoon, RedMike ve UNC5807 gibi endüstri isimlerinin izlediği devlet destekli siber tehdit aktörlerini ele alıyor.
Bu aktörler, Cisco IOS XE’nin CVE-2023-20198 Kimlik Doğrulama Bypass’ı, Ivanti Connect’in CVE-2024-21887 komut enjeksiyonu ve Palo Alto Networks Pan-Os GlobalProtect’in CVE-2024-3400 RERBITHRY DOSYA oluşturma, lateral olarak oluşturmak için güçlendirmelerden yararlanır.
Tehdit avcılık rehberliği
Danışmanlığın temel taşı, ayrıntılı tehdit avı oyun kitabıdır. Ağ savunucuları şunlara çağırılır:
- Denetim cihazı yapılandırmalarını denetleyin ve çalışan durumları yetkili taban çizgileriyle karşılaştırın, beklenmedik erişim kontrol listesi (ACL) değişikliklerine, yeni sanal kaplara ve yetkisiz paket yakalama komutlarına özellikle dikkat edin.
- Standart olmayan bağlantı noktalarında yönetim hizmetleri. Örneğin, 22 × 22 veya XXX22 bağlantı noktası desenleri kullanan SSH dinleyicileri ve yüksek bağlantı noktalarında (18xxx) HTTPS/Web UI uç noktaları kullanan özel yönetim VRF’leri dışında ulaşılabilir.
- AAA komut muhasebesini etkinleştirerek, konteyner günlüklerini yakalayarak ve beklenmedik konuk kabuğu etkinleştirme, konuk kabı veya dohost çağrılarını uyararak gömülü Linux konteyner etkinliğini (Cisco Guest Shell) izleyin.
- TACACS+ (TCP/49) veya onaylanmamış IP’lere yönelik RADIUS trafiğini analiz edin ve yönlendiricilerden kaynaklanan FTP/TFTP oturumlarını inceleyin-kutu üzerindeki PCAP eksfiltrasyonunun potansiyel göstergeleri.
Danışma, bilinen sömürülen CVES’i en büyük öncelik olarak yamalamanın kritikliğinin altını çizmektedir. Kuruluşlar, tüm kenar cihazlarının CVE-2024-21887, CVE-2024-3400, CVE-2023-20273, CVE-2023-20198 ve CVE-2018-0171’e karşı yamalı olmasını sağlamalıdır. Ek sertleştirme önlemleri şunları içerir:
- Sıkı kontrol düzlemi polisliği (COPP) ile özel VRF’ler veya bant dışı ağlar aracılığıyla yönetim düzleminin izolasyonunu uygulamak.
- Kullanılmayan hizmetleri (örneğin, Cisco Smart Install, Misafir Kabuğu) ve protokolleri (Telnet, HTTP) devre dışı bırakmak ve kimliği doğrulanmış, şifreli yönetimi (SSHV2, SNMPV3, HTTPS) zorunlu kılmak.
- Tutma politikaları adli araştırmalar için yeterli olan sağlam günlüğe kaydetme ve değişmez merkezi günlük depolarının uygulanması.
- Saldırı yüzeyini azaltmak ve kimlik bilgisi kötüye kullanımını engellemek için Gönderen Trafik Filtreleme (D3-OTF) ve Varsayılan Parola (D3-CFP) gibi D3Fend karşı önlemlerini benimsemek.
Kuzey Amerika, Avrupa ve Asya-Pasifik’teki ortak ajanslarla birlikte yayınlanan CISA’nın danışmanlığı, bilgi paylaşımının önemini vurgulamaktadır.
Ortak öneri, kuruluşları kolektif durumsal farkındalığı ve savunma taktiklerinin iyileştirilmesini desteklemek için ilk erişim vektörleri, pesfiltrasyon altyapısı ve TTP’ler dahil olmak üzere uzlaşma ayrıntılarını bildirmeye teşvik etmektedir.
Kılavuzun tehdit avı oyun kitabı ve hafifletme kontrol listesini izleyerek, kritik altyapı operatörleri, Çin devlet destekli APT aktörlerinin ortaya koyduğu riski önemli ölçüde azaltabilir ve küresel ağ ekosistemlerinin esnekliğini güçlendirebilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!