Seguridad

El actor de amenazas APT28 apunta a los enrutadores Cisco con vulnerabilidades antiguas

Según los informes, los Estados Unidos, Europa y Ucrania fueron el objetivo de esta amenaza de malware. Aprenda a proteger los enrutadores Cisco afectados.

Escribir funciones de programación en una computadora portátil. Nueva revolución tecnológica. Primer plano del código fuente. Tendencias en big data e IoT. Concepto de piratería de codificación. Código JavaScript en un editor de texto.Imagen: maciek905/Adobe Stock

El actor de amenazas APT28 está explotando una antigua vulnerabilidad en los enrutadores de Cisco que utilizan las versiones 1, 2c y 3 del Protocolo simple de administración de redes para apuntar a EE. UU., Europa y Ucrania. Un boletín conjunto reciente del Centro Nacional de Seguridad Cibernética del Reino Unido, la Agencia de Seguridad Nacional, la Agencia de Seguridad de Infraestructura y Ciberseguridad y el FBI detalla la amenaza a la seguridad.

Salta a:

¿Cómo accedió APT28 a los enrutadores Cisco?

El aviso establece que en 2023, APT28 usó malware para explotar una vulnerabilidad SNMP llamada CVE-2017-6742, que Cisco informó y parchó el 29 de junio de 2017. Para explotar con éxito la vulnerabilidad, un atacante necesitaría conocer las cadenas comunitarias SNMP del enrutador, que son similares a las contraseñas que permiten el acceso a los datos del enrutador.

Además del aviso conjunto, el NCSC también publicó un informe de análisis de malware llamado Jaguar Tooth, que detalla el malware implementado por APT28 que explota las vulnerabilidades de SNMP. La vulnerabilidad se activa para escribir el código Jaguar Tooth en la memoria de un enrutador Cisco Internetworking OS objetivo antes de la ejecución.

Según el NCSC, Jaguar Tooth consiste en cargas útiles y parches que brindan acceso de puerta trasera no autenticado, lo que permite a los atacantes iniciar sesión en cuentas locales existentes. También crea un nuevo proceso llamado Service Policy Lock, que recopila información automáticamente y la extrae a través del protocolo de transferencia de archivos simple. La información recopilada incluye detalles del dispositivo, configuración en ejecución, versiones de firmware, listas de directorios e información de red, como tablas ARP, interfaces y otros enrutadores conectados (Figura A).

LEER  Boletín de seguridad de Android de marzo de 2023: lo que debe saber

Figura A

Comandos del IOS de CiscoComandos de Cisco IOS ejecutados por actores de amenazas a través del malware Jaguar Tooth. Imagen: NCSC

¿Quién es APT28?

APT28 es un actor de amenazas que ha estado activo desde 2004; también tiene los alias Sofacy, Fancy Bear, Pawn Storm, Sednit, Tsar Team y Strontium. APT28 se describe como la unidad militar 26165 del Servicio de Inteligencia Militar de Rusia, anteriormente conocido como GRU. Algunos de sus miembros fueron acusados ​​por el Departamento de Justicia de «piratería informática internacional y operaciones de desinformación e influencia relacionadas» en 2023, según un comunicado de prensa del Departamento de Justicia.

En la investigación del fiscal especial de Mueller, el grupo fue descrito como «una unidad cibernética dedicada a atacar a organizaciones militares, políticas, gubernamentales y no gubernamentales fuera de Rusia, incluido Estados Unidos». APT28 tiene divisiones de diferentes especializaciones, incluida una división de desarrollo de malware y una división que lleva a cabo campañas de phishing selectivo a gran escala.

¿A quién apunta APT28 para este exploit?

Según se informa, APT28 apuntó a enrutadores Cisco en Europa, agencias gubernamentales de EE. UU. y aproximadamente 250 víctimas ucranianas.

Es muy probable que algunas empresas sigan utilizando enrutadores Cisco sin parches o incluso al final de su vida útil. Tales versiones de enrutadores Cisco son vulnerables a este ataque.

Cómo mitigar esta vulnerabilidad del enrutador Cisco

En una publicación de blog sobre los ataques patrocinados por el estado contra la infraestructura de red global, Cisco Talos advierte que la selección cuidadosa de las cadenas de la comunidad SNMP evitará tales ataques, ya que la explotación de CVE-2017-6742 requiere que el atacante conozca la cadena de la comunidad.

Talos, una empresa de seguridad cibernética propiedad de Cisco Systems, advierte que sin SNMP v3, incluso las cadenas cuidadosamente elegidas se transmiten en texto claro y pueden ser interceptadas por actores de amenazas porque las versiones anteriores de SNMP v1 y v2c carecen de encriptación y autenticación adecuadas, mientras que v3 se basa en Protocolos SSH y HTTPS. Por lo tanto, se recomienda enfáticamente implementar SNMP v3 y cifrar todo el tráfico de monitoreo y configuración, y elegir cadenas de comunidad complejas.

También se recomiendan otras precauciones de seguridad:

  • Modifique las credenciales predeterminadas en el enrutador a credenciales únicas y sólidas conocidas solo por el administrador.
  • Deshabilite SNMP si su empresa no requiere la administración remota de enrutadores para reducir la superficie de ataque.
  • Utilice hardware y software modernos en lugar de al final de su vida útil, y mantenga sus enrutadores actualizados y parcheados.
  • Los cambios de configuración o comportamiento en el enrutador deben ser monitoreados por herramientas basadas en los protocolos TACACS+ y Syslog.
  • Aplique políticas sólidas con control de acceso basado en funciones. Solo el personal autorizado puede acceder a la gestión o configuración de estos dispositivos.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

LEER  La falla del chip de Intel pone a millones de dispositivos en riesgo de ser absorbidos por completo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba