ผู้คุกคามที่สนับสนุนโดยรัฐของรัสเซียได้สร้างมัลแวร์แบบกำหนดเองและใช้กับเราเตอร์ Cisco IOS เก่าที่ไม่ได้แพตช์ (เปิดในแท็บใหม่) เตือนรายงานร่วมระหว่างสหรัฐอเมริกาและสหราชอาณาจักร
ศูนย์ความมั่นคงทางไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) หน่วยงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) สำนักงานความมั่นคงแห่งชาติ (NSA) และสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ออกรายงาน (เปิดในแท็บใหม่) โดยอ้างว่า ว่า APT28 ซึ่งเป็นกลุ่มที่ถูกกล่าวหาว่าเกี่ยวข้องกับคณะกรรมการข่าวกรองหลักของเจ้าหน้าที่ข่าวกรองรัสเซีย (GRU) ได้พัฒนามัลแวร์แบบกำหนดเองที่มีชื่อรหัสว่า "Jaguar Tooth"
มัลแวร์นี้มีความสามารถในการขโมยข้อมูลที่ละเอียดอ่อนผ่านเราเตอร์และช่วยให้ผู้คุกคามสามารถเข้าถึงอุปกรณ์ลับๆ
ขโมยข้อมูล
ผู้โจมตีจะสแกนเราเตอร์ Cisco สาธารณะก่อนโดยใช้สตริงชุมชน SNMP ที่อ่อนแอ เช่น สตริง "สาธารณะ" ที่ใช้กันทั่วไป รายงานจาก BleepingComputer ตามโพสต์ สตริงชุมชน SNMP เป็นเหมือน "ข้อมูลรับรองที่อนุญาตให้ใครก็ตามที่รู้สตริงที่กำหนดค่าไว้สามารถสืบค้นข้อมูล SNMP บนอุปกรณ์ได้"
หากพบสตริงชุมชน SNMP ที่ถูกต้อง ผู้โจมตีจะพยายามใช้ประโยชน์จาก CVE-2017-6742 ซึ่งเป็นช่องโหว่อายุ XNUMX ปีที่ช่วยให้สามารถเรียกใช้โค้ดจากระยะไกลได้ ซึ่งช่วยให้สามารถติดตั้งมัลแวร์ Jaguar Tooth ลงในหน่วยความจำของเราเตอร์ Cisco ได้โดยตรง
"Jaguar Tooth เป็นมัลแวร์ที่ไม่คงอยู่ถาวรซึ่งกำหนดเป้าหมายเราเตอร์ Cisco IOS ที่ใช้เฟิร์มแวร์: C5350-ISM รีลีส 12.3 (6)" อ่านคำแนะนำ "มีฟังก์ชันในการรวบรวมข้อมูลอุปกรณ์ซึ่งแยกข้อมูลผ่าน TFTP และอนุญาตให้มีการเข้าถึงแบ็คดอร์ที่ไม่ผ่านการรับรองความถูกต้อง พบว่ามีการใช้งานและดำเนินการโดยการใช้ประโยชน์จากช่องโหว่ SNMP CVE-2017-6742 ที่แพตช์แล้ว"
จากนั้นมัลแวร์จะสร้างกระบวนการใหม่ที่เรียกว่า "ล็อกนโยบายบริการ" ซึ่งรวบรวมผลลัพธ์ทั้งหมดของคำสั่ง CLI เหล่านี้และรวบรวมผ่าน TFTP:
- แสดงการกำหนดค่าการทำงาน
- แสดงเวอร์ชัน
- แสดงการนำเสนออินเตอร์เฟส ip
- แสดงอากัปกิริยา
- แสดงเพื่อนบ้าน cdp
- แสดงที่บ้าน
- แสดงเส้นทางไอพี
- แสดงแฟลช
เพื่อแก้ไขปัญหา ผู้ดูแลระบบควรอัปเดตเฟิร์มแวร์ของเราเตอร์ Cisco ทันที นอกจากนี้ยังสามารถเปลี่ยนจาก SNMP เป็น NETCONF/RESTCONF บนเราเตอร์สาธารณะ หากไม่สามารถผ่าน SNMP ได้ จะต้องกำหนดค่ารายการอนุญาตและปฏิเสธเพื่อจำกัดผู้ที่สามารถเข้าถึงอินเทอร์เฟซ SNMP บนเราเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ต นอกจากนี้ ห่วงโซ่ชุมชนจำเป็นต้องถูกแทนที่ด้วยสิ่งที่แข็งแกร่งกว่า
คำแนะนำยังระบุว่าผู้ดูแลระบบควรปิดใช้งาน SNMP v2 หรือ Telnet
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)