Власти США, Великобритании, а также эксперты компании Cisco предупредили о том, что российские «правительственные» хакеры из группировки APT28 (она же Fancy Bear, STRONTIUM, Sednit и Sofacy) внедряют специальную малварь, Jaguar Tooth, в Cisco IOS на маршрутизаторах компании, что позволяет им получать доступ к устройствами без аутентификации.
Совместный отчет о проблеме был опубликован британским Национальным центром кибербезопасности (NCSC), Агентством США по кибербезопасности и безопасности инфраструктуры (CISA), АНБ и ФБР.
Эксперты сообщают, что Jaguar Tooth внедряется непосредственно в память маршрутизаторов Cisco со старыми версиями прошивки, используя для этого SNMP. После установки малварь извлекает информацию из маршрутизатора и обеспечивает своим операторам неавторизованный бэкдор-доступ к устройству.
«Jaguar Tooth — это нестойкое вредоносное ПО, нацеленное на маршрутизаторы на базе Cisco IOS с прошивкой C5350-ISM версии 12.3(6), — предупреждают специалисты NCSC. — Угроза обладает функциональностью для сбора информации об устройстве, которую передает через TFTP, и обеспечивает бэкдор-доступ без аутентификации. Было замечено, что вредоносное ПО развертывается и выполняется с помощью уже исправленной SNMP-уязвимости CVE-2017-6742».
Упомянутая уязвимость представляет собой ошибку удаленного выполнения кода без аутентификации, для которой давно существует общедоступный эксплоит.
Получив доступ к маршрутизатору Cisco, злоумышленники «патчат» его память, чтобы установить кастомную непостоянную малварь Jaguar Tooth. Как объясняют в NCSC, это дает хакерам доступ к существующим локальным учетным записям без проверки пароля (при подключении через Telnet или физический сеанс).
После заражения вредонос создает в системе новый процесс под названием Service Policy Lock, который собирает выходные данные (output) от следующих CLI-команд и похищает их с помощью TFTP:
- показать текущую конфигурацию;
- показать версию;
- показать бриф интерфейса ip;
- показать arp;
- показать соседей cdp;
- показать старт;
- показать IP-маршрут;
- показать флеш.
Cisco напоминает администраторам о необходимости своевременного обновления маршрутизаторов до последней версии прошивки. Кроме того, специалисты советуют переключиться с SNMP на NETCONF/RESTCONF для удаленного администрирования, так как это обеспечит более надежную защиту и функциональность. В CISA также рекомендуют отключать SNMP v2 или Telnet на маршрутизаторах Cisco, поскольку эти протоколы позволяют похитить учетные данные из незашифрованного трафика.
