Власти США, Великобритании, а также эксперты компании Cisco предупредили о том, что российские «правительственные» хакеры из группировки APT28 (она же Fancy Bear, STRONTIUM, Sednit и Sofacy) внедряют специальную малварь, Jaguar Tooth, в Cisco IOS на маршрутизаторах компании, что позволяет им получать доступ к устройствами без аутентификации.

Совместный отчет о проблеме был опубликован британским Национальным центром кибербезопасности (NCSC), Агентством США по кибербезопасности и безопасности инфраструктуры (CISA), АНБ и ФБР.

Эксперты сообщают, что Jaguar Tooth внедряется непосредственно в память маршрутизаторов Cisco со старыми версиями прошивки, используя для этого SNMP. После установки малварь извлекает информацию из маршрутизатора и обеспечивает своим операторам неавторизованный бэкдор-доступ к устройству.

«Jaguar Tooth — это нестойкое вредоносное ПО, нацеленное на маршрутизаторы на базе Cisco IOS с прошивкой C5350-ISM версии 12.3(6), — предупреждают специалисты NCSC. — Угроза обладает функциональностью для сбора информации об устройстве, которую передает через TFTP, и обеспечивает бэкдор-доступ без аутентификации. Было замечено, что вредоносное ПО развертывается и выполняется с помощью уже исправленной SNMP-уязвимости CVE-2017-6742».

Упомянутая уязвимость представляет собой ошибку удаленного выполнения кода без аутентификации, для которой давно существует общедоступный эксплоит.

Получив доступ к маршрутизатору Cisco, злоумышленники «патчат» его память, чтобы установить кастомную непостоянную малварь Jaguar Tooth. Как объясняют в NCSC, это дает хакерам доступ к существующим локальным учетным записям без проверки пароля (при подключении через Telnet или физический сеанс).

После заражения вредонос создает в системе новый процесс под названием Service Policy Lock, который собирает выходные данные (output) от следующих CLI-команд и похищает их с помощью TFTP:

  • показать текущую конфигурацию;
  • показать версию;
  • показать бриф интерфейса ip;
  • показать arp;
  • показать соседей cdp;
  • показать старт;
  • показать IP-маршрут;
  • показать флеш.

Cisco напоминает администраторам о необходимости своевременного обновления маршрутизаторов до последней версии прошивки. Кроме того, специалисты советуют переключиться с SNMP на NETCONF/RESTCONF для удаленного администрирования, так как это обеспечит более надежную защиту и функциональность. В CISA также рекомендуют отключать SNMP v2 или Telnet на маршрутизаторах Cisco, поскольку эти протоколы позволяют похитить учетные данные из незашифрованного трафика.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии