İnsanların eski sistemlerin sorunları hakkında, özellikle de kritik altyapı ortamlarında ne sıklıkla duyduğunu duyuyorsunuz? İşte bu sorunun ne kadar köklü olduğuna dair başka bir örnek – Legacy Cisco yönlendirici altyapısı bir Rus istihbarat kasası olmaya devam ediyor.
FBI’dan yeni bir uyarı ve Cisco Talos’tan ayrıntılı bir analiz, CISCO’nun Akıllı Kurulum özelliğinde CVE-2018-0171 olarak izlenen on yıllık bir güvenlik açığının, kritik altyapıya karşı durum düzeyinde caspyonaj kampanyalarını nasıl artırmaya devam ettiğini ortaya koyuyor.
Kalıcı tehlikeye sahip eski bir zayıflık
CISA, bu güvenlik açığını 2018’de işaretledi ve Rus devlet destekli aktörlerin Cisco’nun akıllı kurulumunu ve SNMP ve Telnet gibi şifrelenmemiş yönetim protokollerini, ağ konfigürasyonlarını hasat etmek, zeka toplama ve yanal kullanımı için firmware ve kontrol yönlendiricileri enjekte etmek için kullandığını söyledi.
Bu danışma, güvenli olmayan GRE tünellerinin, SNMP ve TFTP’nin, saldırganların kurumsal ve soho cihazlarından yapılandırma dosyalarını ve şifre karmalarını çıkarmaları için kolay yollar olduğunu ortaya koydu. Cisa, bu tehlikeye atılan ağ altyapısı trafik müdahalesi veya hatta yıkıcı operasyonlar için silahlandırılabilir.
En son danışmanlığa hızlı bir şekilde ilerleyin ve bunlar artık sadece teorik riskler değil. SNMP istismarı araçları ve teknikleri, yanlış yapılandırılmış yönlendiriciler, UDP üzerinden TFTP kullanımı, yine de saldırganların cihaz konfigürasyonlarını ayıklamasını, ağ haritalarını oymalarını ve minimum görünürlükle kalıcı erişim sağlamasını sağlıyor.
Ayrıca Oku: Acil: Cisa bayrakları Cisco Cihaz Riskleri, Zayıf Şifreler Büyük Bir Tehdit
Static Tundra’nın gizli kampanyası, on yılda on yıl
Cisco Talos, bu zayıflığı, muhtemelen enerjik ayı olarak da bilinen FSB’nin merkez 16’sına bağlı olan statik Tundra olarak bu zayıflığı sömüren tehdit oyuncusu olarak adlandırdı. Talos, Static Tundra’nın yıllarca Smart Installing Cisco ağ cihazlarına, özellikle de akıllı kurulumları olanlara sızmak için harcadığını ve bunu birden fazla kıtada telekomlar, yüksek öğrenim enstitüleri ve imalatta yaptığını güvenle değerlendiriyor.
Teknikleri şunları içerir:
-
TFTP tabanlı bir geri dönüş enjekte etmek için CVE-2018-0171’den yararlanmak, başlangıç yapılandırmalarını almak.
-
Kimlik bilgilerini almak ve uzaktan erişimi sağlamak için SNMP’nin bazen sahte kaynak adresleri aracılığıyla kötüye kullanılması.
-
Yeniden başlatma yoluyla gizli ve dayanıklılığı korumak için kötü şöhretli Synful Knock ürün yazılımı implantının dağıtılması.
-
Trafiği ve anlaşılır meta verileri sessizce dışarı atmak için GRE tünelleri ve Netflow koleksiyonundan yararlanın.
Talos, grubun hassasiyetle çalıştığını, özellikle Ukrayna çatışması sırasında jeopolitik öncelikleri değiştirme ile uyumlu hedefler topladığını belirtiyor. Daha da endişe verici olan, araştırmacıların, kuruluşların 2018’den bu yana mevcut olmasına rağmen, kuruluşların hala akıllı yükleme özelliğini yamalayamadığı veya devre dışı bırakmadıkları için, birçok uzlaşmış cihazın enfekte kaldıklarını gözlemlemeleridir.
Sektörler ve sınırlar arasında gerçek dünya riski
Birleşik bulgular, tehdidin yapısal ihmal nedeniyle devam ettiğini göstermektedir. Patlamasız ürün yazılımı, etkin eski özellikler ve yönetilmeyen ağ dişlileri başlıca nedenlerdir. CISA’nın 2018 uyarısı riski özetlerken Talos, saldırganların hassas konfigürasyon verilerini hasat etmeye devam ettiğini ve uzun vadeli casusluk dayanakları oluşturduğunu doğruladı.
Kilit ağ altyapısını kontrol eden sofistike tehdit aktörleri, trafik akışlarını manipüle edebilir, gizli implantlar için komut ve kontrolü etkinleştirebilir ve yanal olarak pivot-uzlaşmış yönlendiricileri daha geniş saldırılar için kontrol merkezlerine dönüştürür.
Pazarlık edilemez bir güvenlik zorunluluğu
Daha önce söylediğimiz gibi risk artık varsayımsal değil. Devam eden ve sistemik. Talos araştırmacılarına göre, her işletme ve kritik altyapı ağının atması gereken bazı temel adımlar şunlardır:
-
Hemen akıllı yüklemeyi yama veya devre dışı bırakın—CVE-2018-0171 yaygın olarak kullanılabilir.
-
Şifrelemek yönetim kanalları, devre dışı bırakmak eski protokoller, sertleştirmek SNMP ve AAA politikaları.
-
PRofile yönlendirici davranışı Netflow, günlük izleme ve IDS imzası dağıtım yoluyla.
-
MAintain doğru cihaz stokları ve kritik cihazlara uzaktan erişimi kısıtlayın.
Statik Tundra’nın kampanyaları, ağ cihazlarının pasif altyapı olmadığını açıkça ortaya koymaktadır. Bunlar asimetrik hedeflerdir. Akıllı kurulumdaki güvenlik açığı yeni değil, ancak tehdit güçlü kalıyor. Kritik altyapı operatörlerinin ağ dişlisini sertleştirmesi, algılama stratejileri oluşturmaları ve cihaz güvenliğini yönetim kurulu düzeyinde endişeye yükseltmesi gerekir.