Залатанные дыры в маршрутизаторах Cisco годами используются россиянами: отчет

Согласно предупреждению агентств кибербезопасности США и Великобритании, российские правительственные злоумышленники используют неисправленные и плохо настроенные маршрутизаторы Cisco Systems с 2021 года.

Уязвимости, которые были опубликованы и исправлены в 2017 году, находятся в подсистеме простого протокола управления сетью (SNMP) программного обеспечения Cisco IOS и IOS XE. Они могут позволить удаленному злоумышленнику, прошедшему проверку подлинности, удаленно выполнить код в уязвимой системе или вызвать перезагрузку уязвимой системы. Злоумышленник может воспользоваться этими уязвимостями, отправив созданный SNMP-пакет в уязвимую систему через IPv4 или IPv6.

Угроза, которая использует эти дыры более двух лет, — это то, что исследователи угроз называют APT28, Fancy Bear, Strontium, Pawn Storm, Sednit Gang и Sofacy. Но спецслужбы говорят, как бы это ни называлось, это почти наверняка разведывательное подразделение российского военного генерального штаба (ГРУ).

«В 2021 году APT28 использовала инфраструктуру для маскировки Simple Network Management.
доступ по протоколу SNMP к маршрутизаторам Cisco по всему миру», — говорится в сегодняшнем отчете. «Это включало небольшое количество из Европы, правительственные учреждения США и около 250 украинских жертв».

SNMP предназначен для того, чтобы позволить сетевым администраторам контролировать и настраивать сеть.
устройств удаленно, говорится в отчете, но его также можно использовать для получения конфиденциальной информации о сети и, в случае уязвимости, использовать устройства для проникновения в сеть.

«Ряд программных инструментов может сканировать всю сеть с помощью SNMP, а это означает, что
плохая конфигурация, такая как использование строк сообщества по умолчанию или легко угадываемых строк, может
сделать сеть уязвимой для атак. Слабые строки сообщества SNMP, в том числе общедоступные по умолчанию, позволили APT28 получить доступ к информации о маршрутизаторе. APT28 отправил дополнительные SNMP-команды для перечисления интерфейсов маршрутизатора».

Скомпрометированные маршрутизаторы были настроены на прием запросов SNMP v2. SNMP v2 не поддерживает шифрование, поэтому все данные, включая строки сообщества, отправляются в незашифрованном виде.

Для некоторых целевых устройств субъекты APT28 использовали эксплойт SNMP для развертывания.
вредоносное ПО Национальный центр кибербезопасности Великобритании называет Jaguar Tooth, который собирает информацию об устройстве и осуществляет эксфильтрацию по протоколу Trivial File Transfer Protocol (TFTP), а также обеспечивает доступ через бэкдор без аутентификации.

Cisco заявляет, что все устройства, которые включили SNMP и явно не исключили уязвимые информационные базы управления (MIB) или идентификаторы объектов (OID), должны считаться уязвимыми. В дополнение к установке последних обновлений прошивки и безопасности администраторы Cisco также должны ограничить доступ к SNMP только с доверенных хостов или отключить ряд информационных баз управления SNMP, описанных в рекомендациях 2017 года.