FBI’dan yeni bir uyarıya göre, Rus hükümetiyle bağlantılı tehdit aktörleri, 2018’de ilk olarak ortaya çıkan Cisco ekipmanlarında yedi yıllık bir kırılganlığa düşüyor.
CVE-2018-0171 olarak izlenen söz konusu kusur, Cisco’nun Internetwork İşletim Sistemi (IOS) ve iOS XE’nin Akıllı Yükleme (SMI) özelliğinde mevcuttur. Paket verilerinin uygunsuz doğrulanması yoluyla ortaya çıkar ve TCP bağlantı noktası 4786’daki savunmasız bir cihaza özel hazırlanmış bir akıllı yükleme mesajı gönderilerek kullanılır.
Saldırılmamışsa, kimlik doğrulanmamış bir uzaktan saldırganın bir Hizmet Reddi (DOS) koşulu elde etmesini veya uzaktan kod yürütmesini (RCE) gerçekleştirmesini sağlar.
Geçtiğimiz yıl, Feds, ABD’deki birçok kritik ulusal altyapı (CNI) operatörlerinde hala kullanımda olduğunu söylediği CVE-2018-0171’e karşı savunmasız binlerce yaşam sonu ağ cihazı için yapılandırma dosyaları toplayan tehdit aktörlerini tespit ettiklerini söyledi.
FBI, “Bazı savunmasız cihazlarda, aktörler bu cihazlara yetkisiz erişim sağlamak için yapılandırma dosyalarını değiştirdi” dedi.
“Aktörler, kurban ağlarında keşif yapmak için yetkisiz erişimi kullandılar, bu da endüstriyel kontrol sistemleriyle yaygın olarak ilişkili protokollere ve uygulamalara olan ilgilerini ortaya çıkardılar.”
Beserk Bear
ABD yetkilileri, mevcut müdahalelerin mevcut olmasını sağlayan birimin muhtemelen Rusya’nın federal güvenlik hizmetinin siber bir birimi olan Beserk Bear, özellikle de miras protokollerini hedeflediği bilinen ve daha önce CISCO ürünlerini hedefleyen özel yanlışlıklar üzerinde çalıştığı bilinen FSB’nin, yine de sönük olarak belirtilen özel yanlışlıklar üzerinde çalıştığını, yine de sönük olarak belirtildiğini, ancak daha önce çalıştığını söylediler.
Cisco Talos araştırmacıları Sara McBroom ve Brandon White, Cisco’nun en az 2015’ten beri Cisco ürünlerine karşı hareket ettiğini ve kullanıcıları aciliyet olarak CVE-2018-0171’e karşı yamaya çağırdıklarını söyledi.
“Müşteriler, kırılganlığın aktif ve devam eden kullanımı verilen yamayı hemen uygulamaya zorlanıyor…. Yaşamın sonunun ötesinde ve yamayı destekleyemeyen cihazlar, 2018 güvenlik danışmanlığında ayrıntılı olarak açıklandığı gibi ek güvenlik önlemleri gerektiriyor. Akıllı kurulum özellikli olmayan cihazlar, bu ve diğer saldırılara ve müşterilerin eyleme geçinceye kadar savunmasız olmaya devam edecektir” dedi.
McBroom ve White ayrıca, tehdit oyuncunun hedeflemesinin ABD ve Kuzey Amerika’nın ötesine uzandığını ve Asya, Afrika ve Avrupa’daki yüksek öğrenim, üretim ve telekom sektörlerindeki kuruluşlar da dahil olmak üzere birincil hedeflerle de dikkat çekti. Beserk Bear’ın kurbanlarının, Rus hükümetinin jeopolitik ve zeka hedeflerine olan stratejik değerlerine göre seçildiklerini ekledi.
“Statik Tundra’nın iki temel operasyonel hedefinin, birincisi, gelecekteki operasyonları desteklemek için yararlanabilecek hassas cihaz yapılandırma bilgilerini toplamak için ağ cihazlarından ödün verdiğini ve ikisi de Rus stratejik çıkarlarına uygun olarak uzun vadeli cismi desteklemek için ağ ortamlarına kalıcı erişim sağladığını değerlendiriyoruz.
McBroom ve White, “Cisco ağ altyapısının büyük küresel varlığı ve sağladığı potansiyel erişim nedeniyle, grup bu cihazların sömürülmesine ve muhtemelen bu cihazlarla etkileşim kurmak ve devam etmek için araçların geliştirilmesine odaklanıyor” diye uyardı.