Dalış Kılavuzu:
İçinde araştırma Perşembe günü Salt Typhoon’un telekom taşıyıcılarına karşı hackleme kampanyası üzerine yayınlanan Cisco Talos, Çin devlet destekli tehdit grubunun tehlikeye atılmış giriş bilgileri yoluyla Cisco cihazlarına eriştiğini ve soruşturma sırasında yeni güvenlik açıklarının bulunmadığını söyledi.
Araştırmacılar, bir durumda Salt Typhoon’un eski bir Cisco güvenlik açığından yararlandığına dair kanıt buldular. CVE-2018-0171. Ancak, saldırılarda diğer Cisco kusurlarının kullanıldığına dair hiçbir kanıt bulamadılar.
- Cisco Talos, saldırganların hedeflenen Cisco cihazları ve tuz tay-kontrollü atlama ana bilgisayarları arasında uzaktan bağlantı zinciri oluşturmasına izin veren yeni bir özel yapım kötü amaçlı yazılım keşfetti.
Dalış içgörü:
Cisco Talos, hedeflenen telekom sağlayıcılarının ötesindeki diğer kuruluşların tuz tayfun saldırıları riski altında olduğu konusunda uyardı. Blog yazısı, devlet destekli tehdit aktörlerinin, jumblathy gibi araçlar kullanarak cihazlar ve sistemler arasında sık sık nasıl döndüğünü veya atladığını detaylandırdı. Bir saldırıda, Salt Typhoon, başka bir telekom şirketindeki hedeflenen bir cihaza sadece bir “hop noktası” olarak kullanılan bir telekom şirketi içindeki uzlaşmış cihazdan döndü.
Blog yazısı, “Telekomünikasyon endüstrisi birincil kurban olsa da, burada yer alan tavsiyenin tüm altyapı savunucuları ile ilgili olduğunu ve dikkate alınması gerektiğini belirtmek önemlidir.” Dedi.
Cisco Talos’un araştırması, geçen hafta kaydedilen Future’s Insikt Group’tan bir raporu takip ediyor ve bu da ortaya çıktığını söyledi Telekom sağlayıcılarına ek saldırılar Aralık-Ocak ayında. Bu saldırılarda Insikt Group araştırmacıları, tuz tayfunun bilinen iki Cisco güvenlik açıkından yararlandığını söyledi. CVE-2023-20198 Ve CVE-2023-20273beş telekom şirketinin ağları içindeki açılmamış cihazlara erişmek için.
Ancak Cisco Talos, bu bulguları doğrulamak için hiçbir kanıt bulamadığını söyledi. Araştırmacılar, Salt Typhoon’un Cisco IOS ve Cisco IOS XE yazılımının akıllı kurulum (SMI) özelliğinde bir kırılganlık olan CVE-2018-0171’den yararlandığı tek bir olay keşfettiklerini söyledi. Blog yazısı, “Bugüne kadar araştırdığımız diğer tüm olaylarda, Cisco cihazlarına ilk erişimin, meşru kurban giriş bilgileri elde eden tehdit oyuncusu aracılığıyla kazanıldığı belirlendi.” Dedi.
Salt Typhoon’un Cisco kimlik bilgilerini nasıl elde ettiği belli değil. Siber güvenlik Dive, tehdit faaliyeti hakkında ek bilgi için Cisco ile temasa geçti.
Tuz tayfasına karşı savunmak
Cisco Talos araştırmacıları ayrıca CVE-2018-0171’e açık SMI ile savunmasız Cisco cihazlarının “ek yaygın hedeflemesini” buldular. Araştırmacılar etkinliği belirli bir tehdit oyuncusuna bağlayamadı, ancak tuz tayfunla ilgisiz göründüğünü söyledi.
Blog yazısı, “VSTack yok” kullanarak SMI hizmetini devre dışı bırakmak gibi Cisco’ya özgü karşı önlemler de dahil olmak üzere tuz tayfun saldırılarına karşı savunmak için rehberlik içeriyordu. Telnet’i devre dışı bırakma; gerekmezse konuk kabuğunun erişimini devre dışı bırakma; Yerel Hesap Kimlik Bilgisi Yapılandırması için Tip 8 Şifreleri Kullanma; ve Cisco cihazları için her zaman şifrelenmemiş web sunucularını devre dışı bırakma.