Маршрутизаторы Cisco атакуют специализированные российские вредоносные программы
20 апреля 2023 г.Российские субъекты угроз, спонсируемые государством, создали специальное вредоносное ПО и используют его против старой, неисправленной системы Cisco IOS маршрутизаторы, говорится в совместном отчете США и Великобритании.
Национальный центр кибербезопасности Великобритании (NCSC), Агентство США по кибербезопасности и безопасности инфраструктуры (CISA), Агентство национальной безопасности (АНБ) и Федеральное бюро расследований (ФБР) опубликовали отчет в котором они утверждают, что APT28, группа, предположительно связанная с Главным разведывательным управлением Генерального штаба (ГРУ) России, разработала специальное вредоносное ПО под названием «Зуб ягуара».
Эта вредоносная программа способна похищать конфиденциальные данные, проходящие через маршрутизатор, и позволяет Злоумышленники получили доступ к устройству через черный ход без аутентификации.
Кража данных
Злоумышленники сначала сканируют общедоступные маршрутизаторы Cisco, используя ненадежные строки сообщества SNMP, такие как часто используемая строка «общедоступная», сообщает BleepingComputer. Согласно публикации, строки сообщества SNMP похожи на «учетные данные, которые позволяют любому, кто знает настроенную строку, запрашивать данные SNMP на устройстве».
Если они найдут допустимую строку сообщества SNMP, злоумышленники попытаются использовать CVE-2017-6742, уязвимость шестилетней давности, позволяющую удаленно выполнять код. Это позволяет им устанавливать вредоносное ПО Jaguar Tooth непосредственно в память маршрутизаторов Cisco.
> Cisco не будет исправлять серьезную дыру в безопасности своих старых VPN-маршрутизаторов< /а> «Jaguar Tooth — это непостоянное вредоносное ПО, нацеленное на маршрутизаторы Cisco IOS с прошивкой: C5350-ISM, версия 12.3(6)», — говорится в бюллетене. «Он включает в себя функции для сбора информации об устройстве, которую он отфильтровывает по TFTP, и обеспечивает доступ через черный ход без проверки подлинности. Было замечено, что он развертывается и выполняется с помощью исправленной уязвимости SNMP CVE-2017-6742». Затем вредоносное ПО создаст новый процесс под названием "Блокировка политики обслуживания", который собирает все выходные данные этих команд интерфейса командной строки и собирает их с помощью TFTP: Чтобы решить эту проблему, администраторы должны немедленно обновить прошивку своих маршрутизаторов Cisco. Кроме того, они могут переключаться с SNMP на NETCONF/RESTCONF на общедоступных маршрутизаторах. Если они не могут переключиться с SNMP, им следует настроить списки разрешений и запретов, чтобы ограничить доступ к интерфейсу SNMP на маршрутизаторах, подключенных к Интернету. Кроме того, строку сообщества следует изменить на более надежную. В рекомендациях также говорится, что администраторы должны отключить SNMP v2 или Telnet. Через: BleepingComputer
> Cisco устраняет серьезную уязвимость, затрагивающую VPN-маршрутизаторы
> Вот наш список лучших средств защиты от кражи идентификационных данных
Оригинал