2021’den bu yana, Fancy Bear olarak da bilinen Rusya’nın APT28 bilgisayar korsanları, eski, yama uygulanmamış Cisco yönlendiricilerini bir kötü amaçlı yazılım operasyonuna dahil ediyor.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), ABD Ulusal Güvenlik Dairesi, Siber Güvenlik ve Altyapı Güvenliği Dairesi ve FBI ortak bir danışma belgesinde APT28 istismar taktiklerini ortaya koydu.
Saldırganlar tarafından istismar edilen güvenlik açığı, Cisco’nun IOS XE yazılımının o sırada geçerli olan sürümüyle birlikte gönderilen Basit Ağ Yönetimi Protokolü (SNMP) uygulamasındaki bir hata olan CVE-2017-6742 idi.
Güvenlik açığı bulunan bir yönlendiricinin güvenliği ihlal edildiğinde, SNMP saldırganların yönlendiricinin arkasındaki ağ hakkında hassas bilgiler elde etmesine de izin verir.
Birleşik Krallık danışma belgesi, “Bir dizi yazılım aracı, SNMP kullanarak tüm ağı tarayabilir, bu da varsayılan veya tahmin etmesi kolay topluluk dizileri kullanmak gibi zayıf yapılandırmanın bir ağı saldırılara açık hale getirebileceği anlamına gelir” dedi.
“Varsayılan ‘genel’ dahil olmak üzere zayıf SNMP topluluk dizileri, APT28’in yönlendirici bilgilerine erişmesine izin verdi. APT28, yönlendirici arabirimlerini numaralandırmak için ek SNMP komutları gönderdi.”
Saldırganlar ayrıca güvenliği ihlal edilmiş birimleri, şifrelemeyi desteklemeyen SNMP v2 protokolünü kullanacak şekilde yeniden yapılandırdı.
Saldırganlar daha sonra Jaguar Tooth adlı yönlendirici kötü amaçlı yazılımını konuşlandırdı.
Saldırganlar yönlendiricinin kontrolünü ele geçirdikten sonra, Adres Çözümleme Protokolü’nü (ARP) kullanarak ağdaki diğer aygıtları keşfetmek için güvenliği ihlal edilmiş aygıtın komut satırı arabirimini de kullanabildiler.
Cisco’nun 2017 danışma belgesi, güvenlik açığına maruz kalan donanım cihazlarını belirtmedi, bunun yerine savunmasız dokuz SNMP Yönetim Bilgi Tabanını (MIB) listeledi ve kullanıcılara bu MIB’leri devre dışı bırakmanın yönlendiricileri koruyacağını söyledi.