Cisco Talos, 2024’ün sonlarından bu yana ABD telekomünikasyon altyapısını hedefleyen devlete hizalanmış “Tuz Typhoon” grubu tarafından sofistike bir siber başlık kampanyası ortaya çıkardı.
Kimlik bilgisi hırsızlığı birincil giriş yöntemi olmaya devam ederken, araştırmacılar Cisco’nun CVE-2018-0171 Akıllı Kurulum Uzaktan Kod Yürütme Güvenlik Açığı’nı en az bir ihlalde sömürüldüğünü doğruladılar.
Saldırganlar, bazı ağlarda üç yıldan fazla bir süredir kalıcı erişimi sürdürdü ve çok satıcı ortamlarda gelişmiş yaşam (LOTL) teknikleri kullandı.
Kampanya, telekom operatörlerinin sistemleri arasında dönecek şekilde çalınan kimlik bilgilerini ve ağ cihazı yanlış yapılandırmalarını kullanıyor.
Saldırganlar, zayıf şifreli SNMP topluluk dizeleri ve yerel hesap kimlik bilgileri içeren yapılandırmalar, GRE tünelleri ve değiştirilmiş döngü arayüzleri aracılığıyla yanal hareket sağlayan yapılandırmalar.
Cisco’nun analizi, ağ aletlerinin stratejik kullanımını, veri açığa vurma için gizli atlama noktaları olarak ortaya koydu ve bazı müdahaleler ikincil telekomları yalnızca birincil hedeflere ulaşmak için hedef aldı.
Operasyonel Altyapı: JumblathPath yardımcı programı ve paket yakalama şaşkınlığı
Jumblathpath adlı özel bir araç Salt Typhoon’un teknik sofistike olmasını örneklendirir. Bu Golang tabanlı ELF ikili, tehlikeye atılan Cisco Nexus cihazlarının konuk kabuk ortamları aracılığıyla şifreli paket yakalama zincirleri oluşturur.
Yardımcı program, günlükleri sistematik olarak temizlerken SSH atlama konakçıları aracılığıyla uzak TCPDUMP oturumlarını yürütür.
bash /usr/bin/sshd -p 57722 # SSH daemon on high port for persistence tpacap -i eth0 -w /tmp/capture.pcap # Cisco IOS XR packet capture rm -f /var/log/auth.log /var/log/btmp # Log deletion
.webp)
Saldırganlar, güvenlik kontrollerini atlamak için bunu yapılandırma değişiklikleriyle birleştirdi:-
- TACACS+ Sunucu IP Adreslerini Kısıtlama Kimlik Doğrulama Trafiğini Değiştirme
- Gizli veri aktarımı için uzlaşmış cihazlar arasında GRE tünelleri oluşturmak
- Backdoor erişim için SSH yetkilileri enjekte etme
Cisco’nun adli ekipleri, Tip 8 (PBKDF2-SA-512) şifreleme ihtiyacını vurgulayarak zayıf tip 4/5 karmalarına karşı şifre şifre çözme saldırıları gözlemledi.
CVE-2018-0171’den yararlanan kısmi başarıya rağmen, müdahalelerin çoğu sıfır gün güvenlik açıklarından ziyade açılmamış eski sistemlere ve kimlik bilgisi kötü yönetimine dayanıyordu.
.webp)
Azaltma, TACACS+/RADIUS uygulamalarının radikal sertleşmesinin yanı sıra CVE-2018-0171 ve ilgili güvenlik açıklarının (CVE-2023-20198, CVE-2024-20399) derhal yamalanmasını gerektirir.
Cisco, zorunlu olmayan hizmetleri (akıllı kurulum, konuk kabuğu) devre dışı bırakmayı ve NetConf/RestConf şifrelemesini gelecekteki LOTL tabanlı saldırılara karşı kritik önlemler olarak uygulamayı vurgular.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response and Threat Hunting – Register Here