Новости Российские хакеры взламывают непропатченное оборудование Cisco

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.379
Репутация
11.800
Реакции
62.046
RUB
50
Власти США, Великобритании, а также эксперты компании Cisco предупредили о том, что российские «правительственные» хакеры из группировки APT28 (она же Fancy Bear, STRONTIUM, Sednit и Sofacy) внедряют специальную малварь, Jaguar Tooth, в Cisco IOS на маршрутизаторах компании.


Что позволяет им получать доступ к устройствами без аутентификации.

о проблеме был опубликован британским Национальным центром кибербезопасности (NCSC), Агентством США по кибербезопасности и безопасности инфраструктуры (CISA), АНБ и ФБР.

i


Эксперты сообщают, что Jaguar Tooth внедряется непосредственно в память маршрутизаторов Cisco со старыми версиями прошивки, используя для этого SNMP. После установки малварь извлекает информацию из маршрутизатора и обеспечивает своим операторам неавторизованный бэкдор-доступ к устройству.

«Jaguar Tooth — это нестойкое вредоносное ПО, нацеленное на маршрутизаторы на базе Cisco IOS с прошивкой C5350-ISM версии 12.3(6), — предупреждают специалисты NCSC. — Угроза обладает функциональностью для сбора информации об устройстве, которую передает через TFTP, и обеспечивает бэкдор-доступ без аутентификации. Было замечено, что вредоносное ПО развертывается и выполняется с помощью уже исправленной SNMP-уязвимости ».

Упомянутая уязвимость представляет собой ошибку удаленного выполнения кода без аутентификации, для которой давно существует общедоступный эксплоит.

Получив доступ к маршрутизатору Cisco, злоумышленники «патчат» его память, чтобы установить кастомную непостоянную малварь Jaguar Tooth. Как объясняют в NCSC, это дает хакерам доступ к существующим локальным учетным записям без проверки пароля (при подключении через Telnet или физический сеанс).

После заражения вредонос создает в системе новый процесс под названием Service Policy Lock, который собирает выходные данные (output) от следующих CLI-команд и похищает их с помощью TFTP:

  • показать текущую конфигурацию;

  • показать версию;

  • показать бриф интерфейса ip;

  • показать arp;

  • показать соседей cdp;

  • показать старт;

  • показать IP-маршрут;

  • показать флеш.
Cisco администраторам о необходимости своевременного обновления маршрутизаторов до последней версии прошивки. Кроме того, специалисты советуют переключиться с SNMP на NETCONF/RESTCONF для удаленного администрирования, так как это обеспечит более надежную защиту и функциональность.

В CISA также рекомендуют отключать SNMP v2 или Telnet на маршрутизаторах Cisco, поскольку эти протоколы позволяют похитить учетные данные из незашифрованного трафика.

 
Что же так, не проработали безопасность
 
Сверху Снизу