FBI ve Cisco Warn Rus hackerlar, dünya çapında modası geçmiş yönlendiriciler ve anahtarlar için 7 yaşındaki Cisco Smart kurulum kırılganlığından yararlanıyor.
FBI ve Cisco Talos’un ortak uyarılarına göre, artık bir siber casusluk kampanyasında güvenlik güncellemeleri almayan binlerce eski Cisco cihazı kullanılıyor.
Dragonfly, Enerjik Bear ve Berserk Bear olarak da izlenen statik Tundra olarak bilinen Rus devlet destekli bir grup, birçok kuruluşun hiç yamamadığı yedi yaşındaki bir güvenlik açığından yararlanıyor.
Kusur, CVE-2018-0171, Cisco’nun akıllı kurulum özelliğini etkiler ve saldırganların kodu yürütmesine veya bir cihazı çökertmesine izin verir. Cisco 2018’de tekrar hitap etti, ancak birçok sistem ya asla güncellenmedikleri ya da yaşam sonu (EOL) ve artık yamalar almadıkları için korunmasız kalıyor. Telekomünikasyon, üretim ve yüksek öğrenimde yaygın olarak kullanılan cihazlar, Rusya’nın en kalıcı istihbarat birimlerinden biri için kolay bir giriş noktası haline geldi.
Nisan 2018’de Hackread.com, saldırganların İran ve Rusya’daki veri merkezlerindeki Cisco anahtarlarını hedeflemek için CVE-2018-0171’den yararlandığını bildirdi. Akıllı kurulum özelliğini kötüye kullanarak, cihazları kaçırmış ve iOS görüntüsünü ABD bayrağını görüntüleyen biriyle değiştirdiler.
Statik Tundra, Rusya’nın Federal Güvenlik Servisi (FSB) Center 16 ile bağlantılıdır ve on yıldan fazla bir süredir aktiftir. Araştırmacılar, grubun hala akıllı kurulum çalıştıran hedefleri tanımlamak için genellikle Shodan ve Censys gibi hizmetleri kullanarak interneti taramak için otomasyon araçları geliştirdiğini söylüyor.
İhlal edildikten sonra, genellikle daha geniş ağ altyapısı hakkında yönetici kimlik bilgileri ve ayrıntıları içeren cihaz yapılandırmalarını çeker ve daha derin uzlaşmalar için bir lansman rampası sağlarlar.
FBI, binlerce ABD’den kaynaklanan yapılandırma verilerinin zaten gördüğünü söylüyor. Kritik altyapı sektörlerinde cihazlar. Bazı durumlarda, saldırganlar ağlara erişimini sağlamak için cihaz ayarlarını değiştirdiler ve endüstriyel ekipman ve operasyonları çalıştırmaya yardımcı olan sistemlere özel ilgi gösterdi.
Static Tundra, ilk olarak 2015 yılında belgelenen Cisco yönlendiricileri için kötü niyetli bir implant olan Synful Knock’u dağıtma geçmişine sahiptir. Bu implant yeniden başlatmalardan kurtulur ve özel olarak geliştirilen paketlerden uzaktan erişime izin verir. Buna ek olarak, grup daha fazla veri elde etmek veya yeni komutları cihazlara itmek için “kamu” gibi varsayılan olanlar bile güvensiz SNMP topluluk dizelerini kötüye kullanır.
Cisco Talos araştırmacıları operasyonu “son derece sofistike” olarak tanımlıyor ve tehlikeye atılan cihazların yıllardır saldırganların kontrolü altında kaldığına dair kanıtlar. Rusya’nın bu tür operasyonları yürüten tek ülke olmadığı konusunda uyarıyorlar, yani açılmamış veya modası geçmiş ağ ekipmanlarına sahip herhangi bir organizasyon birden fazla devlet aktörünün risk altında olabilir.
Uzman Yorum
San Francisco, Kaliforniya merkezli bir cybersecurity’de bulunan BUGCROWD, baş strateji ve güven memuru Trey Ford, “Bu FBI uyarısı hem mevcut bir envanteri korumanın (saldırganlar için neyin mevcut olduğunu bilerek) ve yama para birimi ve konfigürasyon yönetiminin çevrimdışı olarak alınana kadar devam eden uyanıklığının ne kadar önemli olduğunu vurguluyor” dedi.
“Etkilenen CVE (CVE-2018-0171) yüksek puan alan bir RCE (uzaktan kod yürütme) istismarıdır-bazı ortamlar (imalat, telekomünikasyon ve diğer kritik altyapı gibi) planlanan yama döngüleri için üretim gecikmeleri ile karşılaşabilir-bu tür bir savunmasızlık için yedi yıllık bir gecikme görmek biraz şaşırtıcıdır”.
Yama, yama, yama
Hem FBI hem de Cisco güçlü önerilerde bulundu. Kuruluşlar, yama işlemi artık bir seçenek değilse, hala akıllı yükleme çalıştıran veya özelliği devre dışı bırakmalıdır.
Daha eski, desteklenmeyen donanım için Cisco, bu cihazlar asla düzeltmeler almayacağından, değiştirilmeyi planlamayı önerir. Siber güvenlik yöneticileri, şüpheli yapılandırma değişikliklerini, olağandışı SNMP trafiğini ve bu kampanyanın ortak belirtileri olan açıklanamayan TFTP etkinliğini izlemelidir.
FBI ayrıca, sistemlerinin Internet Suç Şikayet Merkezi aracılığıyla bulguları rapor etmeyi hedeflemiş olabileceğinden şüphelenen herkesi teşvik ediyor.