FBI ve Cisco Çarşamba günü, Rus Federal Güvenlik Servisi’nin (FSB) Center 16 birimine bağlı bir tehdit grubu, eski bir güvenlik açığı (CVE-2018-0171) aracılığıyla (CVE-2018-0171) karşılaşmamış ve yaşam sonu Cisco ağ cihazlarından ödün veriyor.
Cisco Talos araştırmacıları, “Birincil hedefler, Kuzey Amerika, Asya, Afrika ve Avrupa’daki telekomünikasyon, yükseköğretim ve üretim sektörlerindeki kuruluşları içeriyor ve kurbanlar Rus hükümetine stratejik ilgilerine dayanarak seçildi” dedi.
“Geçtiğimiz yıl, FBI, kritik altyapı sektörlerinde ABD’li kuruluşlarla ilişkili binlerce ağ cihazı için yapılandırma dosyaları toplayan aktörleri tespit etti. Bazı savunmasız cihazlarda, aktörler, bu cihazlara yetkisiz erişim sağlamak için yapılandırma dosyalarını değiştirdi. Aktörler, kurbanları yürütmek için kolaylaştırılmalarını açıklamak için kolay erişimleri açıklamak için kullandığını, konfonaları kullandığını, ilgisini çekti ve ilgisini çekti ve ilgini çekti, ilgilendiklerini öne sürdüler, ilgilendiklerini öne sürdüler, ilgilendiklerini öne sürdüler. Kontrol sistemleri, ”dedi FBI.
Statik Tundra’nın yıllar boyunca saldırıları
CVE-2018-0171, paket verilerinin uygunsuz doğrulanmasından kaynaklanmaktadır. Saldırganlar, TCP bağlantı noktası 4786’daki savunmasız bir cihaza özel hazırlanmış bir akıllı yükleme mesajı göndererek tetikleyebilir ve bu da cihazın yeniden yüklenmesini tetiklemelerine ve keyfi kod gerçekleştirmelerine izin verebilir.
Güvenlik açığı, yalnızca Patched bir cihaz Smart Install istemci özelliği etkinleştirilmişse kullanılabilir. Kesinlikle açıklandıktan ve bir kavram kanıtı kamuya açıklandıktan kısa bir süre sonra, uyanık hackerlar Rusya ve İran’daki veri merkezlerindeki ağ cihazlarına karşı kullanmaya başladı.
“Statik Tundra”-grup olarak adlandırıldığı gibi-uzun vadeli casusluk operasyonlarına katılan sofistike bir tehdit oyuncusudur.
Araştırmacılar, “Talos ayrıca, statik Tundra’nın 2015 yılında kamuya açık olarak bildirilen tehlikeye atılmış Cisco cihazlarına kurulu kötü niyetli bir implant olan ‘Synful Knock’ ‘nun tarihi kullanımı ile ilişkili olduğunu ılımlı bir güvenle değerlendiriyor.
İmplant, etiketlenmiş cihazların yeniden başlatılmasından sonra devam eden değiştirilmiş bir Cisco IOS görüntüsünden oluşuyordu ve saldırganların internetten çeşitli fonksiyonel modüller yüklemesine ve cihaza sınırsız erişim sağladı. (Etkili bir şekilde kalıcı bir arka kapı idi.)
“Statik Tundra hedefleri, birincil hedeflere erişim sağlamak ve ilgili faaliyetleri desteklemek için ikincil operasyonları desteklemek için açılmamış ve genellikle yaşam sonu, ağ cihazları. Bir ağ cihazına ilk erişim sağladıktan sonra, statik tundra, ek ağ cihazlarını tehlikeye atarak ve uzun vadeli persisten ve bilgi toplama için çok sayıda hedefe sahip olmak için kanallar oluşturmaya neden olacak şekilde, hedef ortama daha da dönecek. tespit edildi, ”diye ekledi araştırmacılar.
“Talos, Statik Tundra’nın CVE-2018-0171’in kullanımı ve daha sonraki yapılandırma işlemlerini otomatik olarak kullanan bir hizmet kullanımı kullanılarak toplanan önceden tanımlanmış bir hedef IP adresi kümesine karşı, shodan veya censys gibi kamuya benzer şekilde bildirilenlere benzer olanlara benzer olanlara benzer şekilde toplanan önceden tanımlanmış bir hedef IP adresine karşı ısmarlama araçlardan yararlandığına dair ılımlı güvenle değerlendirir.
Grubun ana hedefi, istihbarat perspektifinden değerli olabilecek ağ trafiğini yakalamaktır.
Ne yapalım?
Statik Tundra on yılı aşkın bir süredir faaliyete geçiyor ve ağ cihazlarını hedeflemeye devam etmesi bekleniyor.
Cisco, CVE-2018-0171 Güvenlik Danışmanlığını, “güvenlik açığının sürekli sömürü faaliyetinin farkında olduklarını” söylemek ve müşterilere mümkün olan en kısa sürede sabit bir yazılım sürümüne yükseltmelerini tavsiye etmek için güncelledi.
Cihazları LFE sonu olan ve düzeltmeleri uygulayamayan kullanıcılar, akıllı yükleme özelliğini devre dışı bırakabilir. Vstack yok Cihazlara komuta veya hizmetten çıkarma.
Cisco’nun araştırmacıları, bu kampanya ile ilgili olabilecek şüpheli etkinliklerin nasıl tanımlanacağı ve en son uzlaşma göstergeleri hakkında tavsiyelerde bulundular.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!