Российские государственные хакеры используют уязвимость 7-летнего маршрутизатора Cisco

ФБР и Cisco предупреждают, что российские хакеры эксплуатируют 7-летнюю уязвимость Cisco Smart Install на устаревших маршрутизаторах и коммутаторах по всему миру.

Согласно совместным предупреждениям ФБР и Cisco Talos, тысячи устаревших устройств Cisco, которые больше не получают обновлений безопасности, теперь используются в кампании по кибершпионажу.

Спонсируемая российским государством группа, известная также как Static Tundra, Energetic Bear и Berserk Bear, использует уязвимость семилетней давности, которую многие организации так и не исправили.

Уязвимость CVE-2018-0171 затрагивает функцию Cisco Smart Install и позволяет злоумышленникам выполнить код или вызвать сбой в работе устройства. Cisco устранила эту проблему ещё в 2018 году, но многие системы остаются незащищёнными, поскольку либо не обновлялись, либо достигли конца жизненного цикла (EOL) и больше не получают исправлений. Эти устройства, широко используемые в телекоммуникациях, производстве и высшем образовании, стали лёгкой точкой проникновения для одной из самых стойких российских разведывательных служб.

Ещё в апреле 2018 года сайт Hackread.com сообщил , что злоумышленники использовали уязвимость CVE-2018-0171 для атаки на коммутаторы Cisco в центрах обработки данных в Иране и России. Используя функцию Smart Install, они взломали устройства и заменили образ iOS на изображение с флагом США.

Static Tundra связана с Центром 16 Федеральной службы безопасности (ФСБ) России и действует уже более десяти лет. Исследователи утверждают, что группа разработала инструменты автоматизации сканирования интернета, часто используя такие сервисы, как Shodan и Censys , для выявления целей, на которых всё ещё используется Smart Install.

После взлома они извлекают конфигурации устройств, которые часто содержат учетные данные администратора и сведения о более широкой сетевой инфраструктуре, создавая плацдарм для более серьезных атак.

ФБР сообщает, что уже наблюдало кражу данных конфигурации с тысяч американских устройств в критически важных секторах инфраструктуры. В некоторых случаях злоумышленники меняли настройки устройств, чтобы сохранить доступ к сетям, проявляя особый интерес к системам, используемым для управления промышленным оборудованием и операциями.

У Static Tundra есть история внедрения SYNful Knock , вредоносного импланта для маршрутизаторов Cisco, впервые задокументированного в 2015 году. Этот имплант выдерживает перезагрузку и обеспечивает удалённый доступ через специально разработанные пакеты. Кроме того, группа использует небезопасные строки сообщества SNMP, иногда даже стандартные, такие как «public», для извлечения дополнительных данных или передачи новых команд на устройства.

Исследователи Cisco Talos описывают эту операцию как «чрезвычайно сложную», имея доказательства того, что взломанные устройства годами остаются под контролем злоумышленников. Они предупреждают, что Россия — не единственная страна, проводящая подобные операции, а это означает, что любая организация с необновлённым или устаревшим сетевым оборудованием может оказаться под угрозой со стороны нескольких государственных структур.

«Это предупреждение ФБР подчеркивает важность как поддержания актуального инвентаря (знания того, что доступно злоумышленникам), так и того, насколько важно сохранять бдительность в отношении управления валютой исправлений и конфигурацией до тех пор, пока устройство не будет отключено», — сказал Трей Форд , директор по стратегии и доверию в Bugcrowd, лидере в области краудсорсинговой кибербезопасности из Сан-Франциско, Калифорния.

«Уязвимая уязвимость CVE (CVE-2018-0171) представляет собой высокоэффективную RCE-эксплойт (удалённое выполнение кода). В то время как некоторые среды (например, производство, телекоммуникации и другие критически важные инфраструктуры) могут сталкиваться с задержками в выпуске плановых исправлений, семилетняя задержка в использовании такого рода уязвимости несколько удивляет», — добавил он.

ФБР и Cisco дали настоятельные рекомендации. Организациям следует немедленно установить исправления на устройствах, на которых всё ещё работает функция Smart Install, или отключить её, если установка исправлений больше невозможна.

Cisco рекомендует планировать замену устаревшего, неподдерживаемого оборудования, поскольку эти устройства никогда не будут получать исправления. Администраторы кибербезопасности должны отслеживать подозрительные изменения конфигурации, необычный трафик SNMP и необъяснимую активность TFTP, которые являются распространёнными признаками этой кампании.

ФБР также призывает всех, кто подозревает, что их системы могли подвергнуться атаке, сообщать о результатах через Центр жалоб на преступления в Интернете.