Hackers estatais russos exploram vulnerabilidade de 7 anos em roteador Cisco

O FBI e a Cisco alertam que hackers russos estão explorando uma vulnerabilidade de 7 anos do Cisco Smart Install em roteadores e switches desatualizados no mundo todo.

Milhares de dispositivos Cisco desatualizados que não recebem mais atualizações de segurança agora estão sendo explorados em uma campanha de espionagem cibernética, de acordo com alertas conjuntos do FBI e da Cisco Talos.

Um grupo patrocinado pelo estado russo conhecido como Static Tundra, também conhecido como Dragonfly, Energetic Bear e Berserk Bear, está se aproveitando de uma vulnerabilidade de sete anos que muitas organizações nunca corrigiram.

A falha, CVE-2018-0171 , afeta o recurso Smart Install da Cisco e permite que invasores executem códigos ou travem dispositivos. A Cisco já havia corrigido o problema em 2018, mas muitos sistemas permanecem desprotegidos, seja porque nunca foram atualizados ou porque atingiram o fim de sua vida útil (EOL) e não recebem mais patches. Esses dispositivos, amplamente utilizados em telecomunicações, manufatura e ensino superior, tornaram-se um ponto de entrada fácil para uma das unidades de inteligência mais persistentes da Rússia.

Em abril de 2018, o Hackread.com relatou que invasores exploraram o CVE-2018-0171 para atacar switches Cisco em data centers no Irã e na Rússia. Aproveitando o recurso Smart Install, eles sequestraram os dispositivos e substituíram a imagem do iOS por uma que exibia a bandeira dos EUA.

O Static Tundra está vinculado ao Centro 16 do Serviço Federal de Segurança (FSB) da Rússia e está ativo há mais de uma década. Pesquisadores afirmam que o grupo desenvolveu ferramentas de automação para escanear a internet, frequentemente utilizando serviços como Shodan e Censys , para identificar alvos que ainda executam o Smart Install.

Uma vez violados, eles extraem configurações do dispositivo que geralmente contêm credenciais de administrador e detalhes sobre uma infraestrutura de rede mais ampla, fornecendo uma plataforma de lançamento para comprometimentos mais profundos.

O FBI afirma já ter visto dados de configuração exfiltrados de milhares de dispositivos nos EUA em setores de infraestrutura crítica. Em alguns casos, os invasores alteraram as configurações dos dispositivos para manter o acesso às redes, demonstrando interesse particular em sistemas que auxiliam na operação de equipamentos e operações industriais.

O Static Tundra tem um histórico de implantação do SYNful Knock , um implante malicioso em roteadores Cisco, documentado pela primeira vez em 2015. Esse implante sobrevive a reinicializações e permite acesso remoto por meio de pacotes especialmente desenvolvidos. Além disso, o grupo utiliza strings de comunidade SNMP inseguras, às vezes até mesmo as padrão, como "públicas", para extrair mais dados ou enviar novos comandos aos dispositivos.

Pesquisadores do Cisco Talos descrevem a operação como "altamente sofisticada", com evidências de que dispositivos comprometidos permanecem sob o controle dos invasores por anos. Eles alertam que a Rússia não é o único país a realizar tais operações, o que significa que qualquer organização com equipamentos de rede desatualizados ou sem patches pode estar em risco por parte de diversos agentes estatais.

"Este alerta do FBI ressalta a importância de manter um inventário atualizado (saber o que está disponível para os invasores) e o quão importante é a vigilância contínua da moeda de correção e do gerenciamento de configuração até que o dispositivo seja retirado do ar", disse Trey Ford , diretor de estratégia e confiança da Bugcrowd, líder em segurança cibernética colaborativa com sede em São Francisco, Califórnia.

“O CVE impactado (CVE-2018-0171) é um exploit RCE (execução remota de código) de alta pontuação – enquanto alguns ambientes (como manufatura, telecomunicações e outras infraestruturas críticas) podem enfrentar atrasos na produção para ciclos de aplicação de patches planejados – ver um atraso de sete anos para que esse tipo de vulnerabilidade seja amplamente explorado é um pouco surpreendente”, acrescentou.

Tanto o FBI quanto a Cisco emitiram recomendações enfáticas. As organizações devem corrigir imediatamente os dispositivos que ainda executam o Smart Install ou desativar o recurso se a correção não for mais uma opção.

Para hardware mais antigo e sem suporte, a Cisco recomenda planejar a substituição, pois esses dispositivos nunca receberão correções. Os administradores de segurança cibernética devem monitorar alterações de configuração suspeitas, tráfego SNMP incomum e atividades TFTP inexplicáveis, que são sinais comuns desta campanha.

O FBI também está incentivando qualquer pessoa que suspeite que seus sistemas possam ter sido alvos a relatar as descobertas por meio do Centro de Reclamações de Crimes na Internet.