Riasztás APT28 által kihasznált Cisco router sérülékenységről és támadási taktikáról

Nyugati kiberügynökségek közös riasztást adtak ki az orosz katonai hírszerzéshez köthető APT28 (más néven Fancy Bear, STRONTIUM, Pawn Storm, Sednit Gang, Sofacy) állami támogatású hacker csoport Cisco routerek ellen alkalmazott támadási taktikáinak és módszereinek (TTP-k) ismertetéséről.

2021 során az APT28 csoport széles körben használt kódtárolók és post-exploitation keretrendszerek és toolok (mint például a PowerShell Empire) mellett egy Cisco hálózati útválasztók SNMP alrendszerét érintő sérülékenységet (CVE-2017-6742) is kihasználtak a támadások felderítési szakaszában (reconnaisance). A támadások célkeresztjében kisebb számban európai és egyesült államokbeli intézmények álltak, illetve ismert, hogy legalább 250 ukrán entitás ellen is zajlott támadás.

Malware

Részben a titkosítást nem alkalmazó SNMP v2 használata, részben ismertté vált community sztringek (például: “public”) kihasználásával, a támadók információt szereztek a routerekről, majd a CVE-2017-6742 kihasználásával egyes esetekben káros kód (Jaguar tooth) telepítésével hátsó ajtót (backdoor) nyitottak az eszközhöz. (Malware IoC-k az NCSC elemzésében érhetők el.)

Habár a sebezhetőség 2017 óta ismert volt, a Cisco pedig biztonsági frissítést és megkerülő megoldást is elérhetővé tett, az áldozatok nem telepítették a hibajavításokat. A riasztás alapján az is feltételezhető, hogy továbbra is létezhetnek sérülékeny eszközök, amelyek aktív kihasználás alatt állhatnak.

Javaslatok

Az érintett eszközök tulajdonosai számára javasolt:

  • a gyártói biztonsági frissítések mielőbbi telepítése;
  • az SNMP alkalmazásának mellőzése az eszközök távoli menedzselésére (amennyiben ez nem megvalósítható, az SNMP üzenetek szűrése whitelist/blacklist szerűen);
  • titkosítást nem alkalmazó protokollok (pl.: SNMP v1, SNMP v2, Telnet) tiltása vagy amennyiben ez nem megvalósítható, VPN alkalmazása;
  • erős jelszó házirend kikényszerítése;
  • az SNMP v3 protokollt nem támogató eszközök cseréje;
  • naplózás használata a hálózati eszközökön.

Kompromittáció gyanúja esetén

  • A gyártói útmutató alapján az eszközről készült image ellenőrzése.
  • Az érintett eszköz minden biztonsági kulcsának cseréje.
  • A ROMMON és Cisco IOS image cseréje egy, a Cisco weboldaláról származóéval.

További segédletek

Vonatkozó sérülékenység leírás az NBSZ NKI weboldalán:

CVE-2017-6742