Birkaç ABD ve Birleşik Krallık ajansı tarafından bir Cisco güvenlik açığı hakkında ortak bir danışma belgesi, ideolojik olarak motive olmuş siber suçluların zihinlerine bir göz atmamızı sağlıyor.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Ulusal Güvenlik Ajansı (NSA), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), ortak bir danışma belgesinde, APT28’in Cisco yönlendiricilerini kötüye kullanması hakkında bilgi yayınladı. 2021’de
Şimdi lütfen bunun eski bir haber olduğunu düşündüğünüz için okumayı bırakmayın. 2021’in çok eski olduğunu düşünüyorsanız, bu saldırılarda kullanılan güvenlik açığının aslında 2017’de keşfedildiğini öğrenince belki şaşıracaksınız.
Cisco, Haziran 2017’de bu güvenlik açığı için geçici çözümler ve güncellemeler yayınladı. Bununla birlikte, danışma belgesi, bahsedilen taktiklerin, tekniklerin ve prosedürlerin (TTP’ler) savunmasız Cisco cihazlarına karşı hala kullanılabileceğini söylüyor.
APT28 (Sofacy ve Fancy Bear olarak da bilinir), genellikle Rus Kurmay Ana İstihbarat Müdürlüğü’nün (GRU) bir parçası olduğuna inanılan Rus kökenli gelişmiş bir siber suçlular grubunun adıdır. Önceki faaliyetler arasında 2015’te Alman parlamentosuna yönelik siber saldırılar ve Birleşik Krallık’ta GRU tarafından silah haline getirilen kimyasalların bağımsız analizini bozmak için Nisan 2018’de Kimyasal Silahların Yasaklanması Örgütü’ne (OPCW) yönelik bir saldırı girişimi yer alıyor.
Basit Ağ Yönetimi Protokolü (SNMP), bir ağdaki aygıtları izlemek ve yönetmek için standartlaştırılmış bir çerçeve ve ortak bir dil sağlayan bir uygulama katmanı protokolüdür. SNMP, ağ yöneticilerinin ağ cihazlarını uzaktan izlemesine ve yapılandırmasına izin verecek şekilde tasarlanmıştır, ancak hassas ağ bilgilerini elde etmek için kötüye kullanılabilir ve savunmasızsa, bir ağa sızmak için cihazları istismar edebilir. 2021’de APT28, SNMP erişimini dünya çapındaki Cisco yönlendiricilerine gizlemek için altyapıyı kullandı.
Bu, Cisco IOS ve IOS XE Yazılımının SNMP alt sisteminin, kimliği doğrulanmış, uzaktan bir saldırganın etkilenen bir sistemde uzaktan kod yürütmesine veya etkilenen sistemin yeniden yüklenmesine neden olabilecek birden fazla güvenlik açığı içermesi nedeniyle mümkün olmuştur. Bu güvenlik açıkları, Cisco IOS ve IOS XE Yazılımının ilk sabit sürümden önceki tüm sürümlerini ve SNMP-Sürüm 1, 2c ve 3’ün tüm sürümlerini etkiler. Bir saldırgan, etkilenen bir sisteme hazırlanmış bir SNMP paketi göndererek bu güvenlik açıklarından yararlanabilir. IPv4 veya IPv6 aracılığıyla.
APT28’in daha fazla cihaz bilgisi elde etmek için kullandığı ve bir arka kapı aracılığıyla kimliği doğrulanmamış erişimi etkinleştirdiği kötü amaçlı yazılımın adı olan Jaguar Tooth’u girin. Oyuncu, bu cihaz bilgilerini kötü amaçlı yazılım aracılığıyla bir dizi komut yürüterek elde etti ve bunları önemsiz dosya aktarım protokolü (TFTP) üzerinden gönderdi. Bilgiler, ağdaki diğer cihazların keşfini içerir.
Keşif ve karşı önlemler
Bu tehdit hakkında endişelenmeli misin? Bu, tehdit modelinize bağlıdır. Devlet aktörlerinin bir şekilde sizinle ilgilenmesinin bir nedeni varsa, o zaman cevap evettir. Bu, İngiltere’nin Bakanı ve Ulusal Yatırım Güvenliğinden Sorumlu Dışişleri Bakanı Bay Dowden’ın mali güdülerden ziyade ideolojik güdümlü gruplardan bahsederken bahsettiği türden bir tehdittir.
Yönlendiricinizin güvenliğinin ihlal edildiğinden şüpheleniyorsanız, Cisco IOS imajını doğrulamak için Cisco’nun tavsiyelerini takip edebilirsiniz. Bu, şüphenizi ortadan kaldırmazsa, şunları yapmalısınız:
- Bu yönlendiriciyle ilişkili tüm anahtarları iptal edin. Yönlendirici yapılandırmasını değiştirirken, eski yapılandırmadan yapıştırmak yerine yeni anahtarlar oluşturduğunuzdan emin olun.
- Üçüncü taraf ve dahili depoların tehlikeye girmesi durumunda, hem ROMMON hem de Cisco IOS görüntüsünü doğrudan Cisco web sitesinden alınan bir görüntüyle değiştirin.
Bu belirli tehdide kurban gitmesini önlemek için atmanız gereken bazı adımlar vardır:
- Cihazları Cisco tarafından tavsiye edildiği şekilde yamalayın
- Cihazları uzaktan yapılandırmanız veya yönetmeniz gerekmiyorsa SNMP’yi kullanmayın. Buna ihtiyacınız varsa, yetkisiz kullanıcıların yönlendiricinize erişmesini önlemek için SNMP mesajları için bir sınırlayıcı izin listesi kullanın.
- Parola politikanızı gözden geçirin ve gerektiğinde uyarlayın.
- Ağ cihazlarınızda yürütülen komutları kaydetmek için günlük tutma araçlarını kullanın.
Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.