Rus Devlet Korsanları 7 Yıllık Cisco Yönlendirici Güvenlik Açığını Kullandı

FBI ve Cisco, Rus bilgisayar korsanlarının dünya çapındaki eski yönlendiriciler ve anahtarlarda 7 yıllık bir Cisco Smart Install güvenlik açığından yararlandığı konusunda uyarıyor.

FBI ve Cisco Talos'un ortak uyarılarına göre, artık güvenlik güncellemeleri almayan binlerce eski Cisco cihazı siber casusluk kampanyasında kullanılıyor.

Rusya'nın devlet destekli Static Tundra adlı grubu, Dragonfly, Energetic Bear ve Berserk Bear olarak da biliniyor ve birçok kuruluşun hiçbir zaman yama yapmadığı yedi yıllık bir güvenlik açığından yararlanıyor.

CVE-2018-0171 numaralı güvenlik açığı, Cisco'nun Akıllı Kurulum özelliğini etkiliyor ve saldırganların kod çalıştırmasına veya bir cihazı çökertmesine olanak tanıyor. Cisco bu sorunu 2018'de ele almıştı, ancak birçok sistem ya hiç güncellenmediği ya da kullanım ömrü sonuna (EOL) ulaşıp artık yama almadığı için korumasız kalmaya devam ediyor. Telekomünikasyon, imalat ve yükseköğretimde yaygın olarak kullanılan bu cihazlar, Rusya'nın en ısrarcı istihbarat birimlerinden biri için kolay bir giriş noktası haline geldi.

Nisan 2018'de Hackread.com, saldırganların İran ve Rusya'daki veri merkezlerindeki Cisco anahtarlarını hedef almak için CVE-2018-0171 güvenlik açığını kullandıklarını bildirmişti . Akıllı Kurulum özelliğini kötüye kullanarak cihazları ele geçirdiler ve iOS görüntüsünü ABD bayrağını gösteren bir görüntüyle değiştirdiler.

Static Tundra, Rusya Federal Güvenlik Servisi (FSB) 16. Merkezi'ne bağlı ve on yıldan uzun süredir faaliyet gösteriyor. Araştırmacılar, grubun, Smart Install'ı hâlâ çalıştıran hedefleri belirlemek için genellikle Shodan ve Censys gibi hizmetleri kullanarak interneti tarayan otomasyon araçları geliştirdiğini söylüyor.

Bir kez ihlal edildiğinde, genellikle yönetici kimlik bilgilerini ve daha geniş ağ altyapısıyla ilgili ayrıntıları içeren cihaz yapılandırmalarını çekerek, daha derin ihlaller için bir başlangıç noktası sağlarlar.

FBI, kritik altyapı sektörlerindeki binlerce ABD cihazından yapılandırma verilerinin sızdırıldığını gördüğünü açıkladı . Saldırganlar, bazı durumlarda ağlara erişimlerini sürdürmek için cihaz ayarlarını değiştirerek, endüstriyel ekipman ve operasyonların yürütülmesine yardımcı olan sistemlere özellikle ilgi gösterdi.

Static Tundra, Cisco yönlendiricileri için kötü amaçlı bir uygulama olan ve ilk olarak 2015 yılında belgelenen SYNful Knock'ı dağıtma geçmişine sahiptir. Bu uygulama, yeniden başlatmalara karşı dayanıklıdır ve özel olarak geliştirilmiş paketler aracılığıyla uzaktan erişime olanak tanır. Ayrıca grup, daha fazla veri çıkarmak veya cihazlara yeni komutlar göndermek için bazen "genel" gibi varsayılanlar da dahil olmak üzere güvenli olmayan SNMP topluluk dizelerini kötüye kullanır.

Cisco Talos araştırmacıları, operasyonu "son derece karmaşık" olarak nitelendiriyor ve ele geçirilen cihazların saldırganların kontrolü altında yıllarca kaldığına dair kanıtlar sunuyor. Rusya'nın bu tür operasyonları yürüten tek ülke olmadığı, yani yamalanmamış veya güncelliğini yitirmiş ağ donanımına sahip herhangi bir kuruluşun birden fazla devlet aktörü tarafından tehdit altında olabileceği konusunda uyarıyorlar.

San Francisco, Kaliforniya merkezli, kitle kaynaklı siber güvenlik alanında lider bir kuruluş olan Bugcrowd'un Baş Strateji ve Güven Sorumlusu Trey Ford , "Bu FBI Uyarısı, hem güncel bir envanter bulundurmanın (saldırganların kullanımına açık olan bilgileri bilmenin) hem de cihaz çevrimdışı kalana kadar yama güncellemesi ve yapılandırma yönetiminin sürekli olarak gözetilmesinin önemini vurguluyor" dedi.

"Etkilenen CVE (CVE-2018-0171), yüksek puan alan bir RCE (uzaktan kod yürütme) açığıdır. Bazı ortamlar (üretim, telekomünikasyon ve diğer kritik altyapılar gibi) planlanan yama döngüleri için üretim gecikmeleriyle karşılaşabilirken, bu tür bir güvenlik açığının yaygın olarak kullanılmasının yedi yıl gecikmesi biraz şaşırtıcıdır" diye ekledi.

Hem FBI hem de Cisco güçlü öneriler yayınladı. Kuruluşlar, Smart Install özelliğini hâlâ çalıştıran cihazlara derhal yama uygulamalı veya yama artık bir seçenek değilse özelliği devre dışı bırakmalıdır.

Cisco, eski ve desteklenmeyen donanımlar için, bu cihazlara hiçbir zaman onarım yapılmayacağı için, değiştirme planlaması yapılmasını öneriyor. Siber güvenlik yöneticileri, bu saldırının yaygın belirtileri olan şüpheli yapılandırma değişikliklerini, olağandışı SNMP trafiğini ve açıklanamayan TFTP etkinliğini izlemelidir.

FBI ayrıca sistemlerinin hedef alınmış olabileceğinden şüphelenen herkesi, bulgularını İnternet Suç Şikayet Merkezi aracılığıyla bildirmeye teşvik ediyor.