Bir CISA danışma belgesine göre, önceden yamalanmış bir Cisco yönlendirici güvenlik açığı, keşif yapmak ve kötü amaçlı yazılım dağıtmak için APT28 tarafından istismar edildi.
Siber Güvenlik ve Altyapı Güvenliği Dairesi, Birleşik Krallık Ulusal Siber Güvenlik Merkezi, ABD Ulusal Güvenlik Dairesi ve FBI ile işbirliği içinde ortak bir danışma belgesi yayınladı.
Ortak danışma belgesinde, Cisco yönlendirici güvenlik açığının tehdit aktörleri tarafından kullanılmaya devam edebileceği belirtildi.
Cisco yönlendirici güvenlik açığı için ilk danışma belgesi
Cisco yönlendirici güvenlik açığı CVE-2017-6742 için danışma belgesi, geçici çözümler ve güvenilir kaynaklardan Basit Ağ Yönetimi Protokolü’ne (SNMP) erişimi sınırlama hakkında bilgilerle birlikte ilk olarak Haziran 2017’de yayınlandı.
Gerekirse SNMP’nin devre dışı bırakılması da önerildi. APT28 olarak adlandırılan tehdit aktörleri, Avrupa, ABD hükümeti ve 250’den fazla Ukrayna hedefi dahil olmak üzere küresel olarak Cisco yönlendiricilerine erişim sağladı.
SNMP, genellikle yöneticilerin ağ cihazlarını uzaktan izlemesine olanak tanır. Bu, bilgisayar korsanlarının hassas ağ bilgilerine erişmesine izin verdi. Varsayılan veya kolay topluluk dizeleri gibi zayıf yapılandırmaların kullanılması, bilgisayar korsanlarının ağlara erişmesine daha fazla yardımcı olabilir.
Yama uygulanmış Cisco yönlendirici güvenlik açığından önceki yararlanma
Strontium, Piyon Fırtınası, Süslü Ayı, Sednit Çetesi ve Sofacy olarak da bilinen APT28, 8,8 taban puanla yüksek önem düzeyine sahip CVE-2017-6742’den yararlandı.
Güvenlik açığının istismarı, 2021 yılında aynı tehdit aktörü grubu tarafından bulundu. Bilgisayar korsanlarının talimat işaretçisini ve uzaktan kod yürütmeyi kontrol etmesine izin veren bir arabellek taşmasına neden oldu.
Birleşik Krallık ve ABD yasal makamları, CISA danışma belgesinde, APT28’in Rus Genelkurmay Ana İstihbarat Müdürlüğü85 olduğundan neredeyse emin olduklarını yazdılar.inci özel hizmet Merkezi (GTsSS) askeri istihbarat birimi 26165.
APT28, daha önce 2015 yılında Alman parlamentosuna karşı veri hırsızlığına yol açan ve Alman parlamento üyeleri ile başbakan yardımcısının e-posta hesaplarını etkileyen siber saldırılar başlatmıştı.
Tehdit aktörleri ayrıca Nisan 2018’de Kimyasal Silahların Yasaklanması Örgütü’ne (OPCW) yönelik bir saldırı girişiminde bulundu.
Cisco yönlendirici güvenlik açığının önceki istismarlarında kullanılan kötü amaçlı yazılım
SNMP istismarı, belleğe kabuk kodu yazarak ve ardından hedeflenen adreslere rastgele 4 baytlık değerler yazarak Jaguar Tooth kötü amaçlı yazılımını dağıtmak için kullanıldı.
Jaguar Tooth, kalıcı olmayan, düşük ila orta düzeyde gelişmiş bir kötü amaçlı yazılım olarak kabul edilir. Cihaz bilgilerini otomatik olarak çalma ve arka kapı erişimine sahip olma özelliğine sahiptir.
Azaltma teknikleri
Siber saldırıların yamalı Cisco yönlendirici güvenlik açığını kötüye kullanmasını önlemek için atılması gereken adımlar, tüm sistemlerin en son güncellemelerle yamalanmasını içerir.
Bilgisayar korsanları kolay kimlik bilgilerini bulmak veya tahmin etmek için zaman ayırmadığından, varsayılan kimlik bilgilerini değiştirmek son derece önemlidir.
CISA ayrıca, kullanıcılardan uzak masaüstü protokollerini yetkisiz erişime karşı korumalarını istedi. Son kullanıcıları eğitmek de, özellikle insan hataları nedeniyle yapılan siber saldırıların veya düzenli siber hijyen sağlayan personel tarafından önlenebilen hataların ardından zorunludur.