Cisco, İngiltere ve ABD siber ajanslarının benzer bir girişimde bulunmasının ardından, işletme kullanıcılarını, yönlendirme ve anahtarlama donanımı konusunda, altı yıllık bir güvenlik açığının Rusya ve Çin gibi devletlerle bağlantılı ulus-devlet tehdit aktörleri tarafından istismar edilmesine karşı tetikte olmaları konusunda uyardı. çekici.
Bu haftanın başlarında, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ve Amerikalı muadili, Cisco IOS ve IOS’ta bir Basit Ağ Yönetimi Protokolü (SNMP) uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2017-6742’den yararlanan bir kötü niyetli etkinlik kampanyasını vurguladı. Birden fazla cihazı etkileyen XE yazılımı.
Rus istihbarat destekli gelişmiş kalıcı tehdit (APT) aktörü APT28’e atfedilen bu faaliyet, Avrupa ve ABD’deki kuruluşların ve 250’den fazla Ukraynalı kurbanın, Cisco yönlendiricilerini hedefleyen kalıcı olmayan bir kötü amaçlı yazılım olan Jaguar Tooth kötü amaçlı yazılımıyla saldırıya uğradığını gördü. cihaz bilgilerini toplayıp çalan ve kimliği doğrulanmamış arka kapı erişimi sağlayan.
NCSC operasyon direktörü Paul Chichester, “APT28’in bu kötü niyetli faaliyeti, kuruluşlar için ciddi bir tehdit oluşturuyor ve Birleşik Krallık ve ABD’li ortaklarımız, konuşlandırılan taktikler ve teknikler hakkında farkındalığı artırmaya kararlıdır” dedi.
“Ağ savunucularını, yönlendiricilerine en son güvenlik güncellemelerinin uygulandığından emin olmalarını ve uzlaşmayı önlemek için danışma belgesinde belirtilen diğer azaltma adımlarını takip etmelerini şiddetle tavsiye ediyoruz.”
Ağ patronu, Talos tehdit istihbarat ekibinin yakından takip ettiği bu saldırılardaki artıştan “derin endişe duyduğunu” söyledi.
Cisco’da Talos tehdit istihbaratı ve engelleme direktörü Matt Olney, her türden ağ altyapısının her zaman siber saldırılarla bombardımana tutulduğunu, ancak Cisco’nun pazar hakimiyeti nedeniyle donanımının özellikle hedef alınmasının muhtemel olduğunu ve bu örnekte, APT-28, diğer devlet destekli tehdit aktörlerinde olduğu gibi, güncelliğini yitirmiş yazılımlarla altyapıyı tehlikeye atma konusunda özellikle başarılı olmuştur.
“Bağlam ne olursa olsun, eskiyen altyapı bir risktir. Güncelliğini yitirmiş ekipmanlara güvenmek veya güncelliğini yitirmiş protokolleri ve teknolojileri kullanmak, sonunda kuruluşunuza maliyetli olacaktır”
Matt Olney, Talos, Cisco
Olney, “Yeterince yetenekli herhangi bir ulusal istihbarat operasyonunun, tercih ettikleri hedeflerin iletişim altyapısını tehlikeye atmak için bu yeteneği geliştireceği ve kullanacağı sonucuna varmak mantıklıdır” diye yazdı.
“Trafik manipülasyonu, trafik kopyalama, gizli yapılandırmalar, yönlendirici kötü amaçlı yazılımı, altyapı keşfi ve ağ ekipmanı üzerinde çalışan düşmanlar tarafından savunmaların aktif olarak zayıflatıldığını gözlemledik. Saldırganların katıldığını gördüğümüz çeşitli faaliyetler göz önüne alındığında, güvenliği ihlal edilmiş ağ ekipmanının sınırları içinde çalışırken çok yüksek düzeyde rahatlık ve uzmanlık sergilediler.
“Değerlendirmemiz açık; dünya çapındaki ulusal istihbarat teşkilatları ve devlet destekli aktörler, birincil tercih hedefi olarak ağ altyapısına saldırdı. Yönlendirme/değiştirme cihazları kararlıdır, nadiren güvenlik açısından incelenir, genellikle kötü bir şekilde yamalı ve derin ağ görünürlüğü sağlar. Hem sessiz olmak hem de önemli istihbarat yeteneklerine erişimin yanı sıra tercih edilen bir ağda tutunmak isteyen bir düşman için mükemmel bir hedef” dedi.
Olney, Cisco Talos’un çoğu kritik altyapı tesislerinde olmak üzere farklı platformlarda gözlemlediği çok sayıda son derece karmaşık aktör davranışının ayrıntılarını paylaşmaya devam etti.
“Yetersiz farkındalık ve yama uygulamalarının, ömrünü tamamlamış ekipmanlara güvenmenin ve her zaman açık bağlantı gerekliliğinin çok fazla altyapı cihazını kolay av haline getirmesinden endişe duyuyoruz. Bu sorunların sonuçları, suç faaliyetlerine farkında olmadan katılmaktan gerçek ulusal güvenlik etkisine sahip olaylara kadar uzanıyor” diye yazdı.
Olney, gerçekten güvenli bir ağ sağlamayı zorlaştıran birçok operasyonel gerçek olduğunu kabul etti, ancak güvenliği ihlal edilmiş ağ donanımı riskleri göz önüne alındığında, bu engellerin kaldırılmasının önemli olduğunu söyledi.
“Bağlam ne olursa olsun, eskiyen altyapı bir risktir. Güncelliğini yitirmiş teçhizata güvenmek veya güncelliğini yitirmiş protokolleri ve teknolojileri kullanmak, eninde sonunda kuruluşunuza maliyetli olacaktır” dedi.