Gli hacker statali russi sfruttano una vulnerabilità del router Cisco vecchia di 7 anni

L'FBI e Cisco avvertono che gli hacker russi stanno sfruttando una vulnerabilità Cisco Smart Install vecchia di 7 anni su router e switch obsoleti in tutto il mondo.

Secondo gli avvertimenti congiunti dell'FBI e di Cisco Talos, migliaia di dispositivi Cisco obsoleti che non ricevono più aggiornamenti di sicurezza vengono ora sfruttati in una campagna di spionaggio informatico.

Un gruppo sponsorizzato dallo Stato russo noto come Static Tundra, noto anche come Dragonfly, Energetic Bear e Berserk Bear, sta sfruttando una vulnerabilità vecchia di sette anni che molte organizzazioni non hanno mai corretto.

La falla, CVE-2018-0171 , colpisce la funzionalità Smart Install di Cisco e consente agli aggressori di eseguire codice o bloccare un dispositivo. Cisco ha risolto il problema già nel 2018, ma molti sistemi rimangono non protetti perché non sono mai stati aggiornati o hanno raggiunto la fine del loro ciclo di vita (EOL) e non ricevono più patch. Questi dispositivi, ampiamente utilizzati nei settori delle telecomunicazioni, della produzione e dell'istruzione superiore, sono diventati un facile punto di accesso per una delle unità di intelligence più tenaci della Russia.

Nell'aprile 2018, Hackread.com ha segnalato che degli aggressori avevano sfruttato la vulnerabilità CVE-2018-0171 per colpire gli switch Cisco nei data center in Iran e Russia. Abusando della funzionalità Smart Install, hanno dirottato i dispositivi e sostituito l'immagine iOS con una raffigurante la bandiera statunitense.

Static Tundra è collegato al Centro 16 del Servizio di Sicurezza Federale (FSB) russo ed è attivo da oltre un decennio. I ricercatori affermano che il gruppo ha sviluppato strumenti di automazione per scansionare Internet, spesso utilizzando servizi come Shodan e Censys , per identificare gli obiettivi che utilizzano ancora Smart Install.

Una volta violati, estraggono configurazioni di dispositivi che spesso contengono credenziali di amministratore e dettagli sull'infrastruttura di rete più ampia, fornendo una piattaforma di lancio per compromessi più profondi.

L'FBI afferma di aver già visto dati di configurazione esfiltrati da migliaia di dispositivi statunitensi in settori infrastrutturali critici. In alcuni casi, gli aggressori hanno modificato le impostazioni dei dispositivi per mantenere l'accesso alle reti, mostrando particolare interesse per i sistemi che contribuiscono al funzionamento di apparecchiature e operazioni industriali.

Static Tundra ha una storia di implementazione di SYNful Knock , un impianto dannoso per i router Cisco, documentato per la prima volta nel 2015. Questo impianto sopravvive ai riavvii e consente l'accesso remoto tramite pacchetti appositamente sviluppati. Inoltre, il gruppo abusa di stringhe di comunità SNMP non sicure, a volte persino di quelle predefinite come "public", per estrarre più dati o inviare nuovi comandi ai dispositivi.

I ricercatori di Cisco Talos descrivono l'operazione come "altamente sofisticata", con prove che dimostrano che i dispositivi compromessi rimangono sotto il controllo degli aggressori per anni. Avvertono che la Russia non è l'unico Paese a condurre tali operazioni, il che significa che qualsiasi organizzazione dotata di dispositivi di rete non aggiornati o non aggiornati potrebbe essere esposta al rischio di attacchi da parte di più attori statali.

"Questo avviso dell'FBI sottolinea l'importanza sia di mantenere un inventario aggiornato (sapendo cosa è disponibile agli aggressori) sia di continuare a vigilare sulla gestione delle patch e della configurazione finché il dispositivo non viene messo offline", ha affermato Trey Ford , Chief Strategy and Trust Officer di Bugcrowd, azienda leader nella sicurezza informatica crowdsourcing con sede a San Francisco, California.

"Il CVE interessato (CVE-2018-0171) è un exploit RCE (esecuzione di codice remoto) ad alto punteggio. Mentre alcuni ambienti (come la produzione, le telecomunicazioni e altre infrastrutture critiche) potrebbero subire ritardi nella produzione per i cicli di patch pianificati, vedere un ritardo di sette anni prima che questo tipo di vulnerabilità venga sfruttato ampiamente è un po' sorprendente", ha aggiunto.

Sia l'FBI che Cisco hanno emesso forti raccomandazioni. Le organizzazioni dovrebbero immediatamente applicare patch ai dispositivi che eseguono ancora Smart Install o disattivare la funzionalità se l'applicazione delle patch non è più possibile.

Per l'hardware più vecchio e non supportato, Cisco consiglia di pianificare la sostituzione, poiché questi dispositivi non riceveranno mai aggiornamenti. Gli amministratori della sicurezza informatica dovrebbero monitorare eventuali modifiche sospette alla configurazione, traffico SNMP insolito e attività TFTP inspiegabili, che sono segnali comuni di questa campagna.

L'FBI incoraggia inoltre chiunque sospetti che i propri sistemi siano stati presi di mira a segnalare i risultati tramite l'Internet Crime Complaint Center.