美英警告：俄黑客組織在 Cisco 路由器部署惡意軟件

近日，美國、英國和思科警告由俄羅斯政府資助的 APT28 黑客在 Cisco IOS 路由器上部署名為“Jaguar Tooth”的自定義惡意軟件，允許未經身份驗證的設備訪問。

APT28，也稱為 Fancy Bear、STRONTIUM、Sednit 和 Sofacy，是一個與俄羅斯總參謀部情報總局 (GRU) 有聯系的國家資助的黑客組織。這個黑客組織由于對歐洲和美國利益的廣泛攻擊，并且以濫用零日漏洞進行網絡間諜活動而聞名。

在英國國家網絡安全中心 (NCSC)、美國網絡安全和基礎設施安全局 (CISA)、美國國家安全局和聯邦調查局發布的一份聯合報告詳細介紹了 APT28 黑客如何利用Cisco IOS路由器上的舊SNMP 漏洞部署名為“Jaguar Tooth”的自定義惡意軟件。

自定義 Cisco IOS 路由器惡意軟件

Jaguar Tooth 是一種惡意軟件，直接注入到運行較舊固件版本的 Cisco 路由器的內存中。安裝后，惡意軟件會從路由器中泄露信息，并提供對設備的未經身份驗證的后門訪問。

NCSC公告警告說：“Jaguar Tooth是一種非持久性惡意軟件，其目標是運行固件的 Cisco IOS 路由器：C5350-ISM，版本 12.3(6)。它包括收集設備信息的功能，通過 TFTP 泄露這些信息，并啟用未經身份驗證的后門訪問。據觀察，它是通過利用已修補的 SNMP 漏洞 CVE-2017-6742 進行部署和執行的。”

為了安裝惡意軟件，威脅參與者使用弱 SNMP 社區字符串（例如常用的“公共”字符串）掃描公共 Cisco 路由器。SNMP 社區字符串就像憑據，允許知道配置字符串的任何人查詢設備上的 SNMP 數據。

如果發現有效的 SNMP 社區字符串，威脅參與者就會利用2017年6月修復的CVE-2017-6742 SNMP 漏洞。此漏洞是一個未經身份驗證的遠程代碼執行漏洞，具有公開可用的利用代碼。

一旦攻擊者訪問Cisco路由器，他們就會修補其內存以安裝自定義的非持久性Jaguar Tooth惡意軟件。

NCSC 惡意軟件分析報告解釋說：“當通過Telnet或物理會話連接時，這將授予對現有本地帳戶的訪問權限，而無需檢查提供的密碼。”

此外，該惡意軟件創建了一個名為“Service Policy Lock”的新進程，該進程收集以下命令行界面(CLI)命令的輸出并使用TFTP將其泄露：

顯示運行配置

顯示版本

顯示 ip 界面簡介

顯示arp

顯示 cdp 鄰居

演出開始

顯示 ip 路由

顯示閃光

所有思科管理員都應該將他們的路由器升級到最新的固件以減輕這些攻擊。

Cisco建議在公共路由器上從 SNMP切換到 NETCONF/RESTCONF 以進行遠程管理，因為它提供更強大的安全性和功能。

如果需SNMP，管理員應配置允許和拒絕列表以限制誰可以訪問公開路由器上的SNMP 接口，并且社區字符串應更改為足夠強的隨機字符串。

CISA 還建議在 Cisco 路由器上禁用 SNMP v2 或 Telnet，因為這些協議可能允許從未加密的流量中竊取憑據。

最后，如果懷疑某臺設備遭到入侵，CISA 建議使用 Cisco 的建議來驗證 IOS 映像的完整性，撤銷與該設備關聯的所有密鑰，不要重復使用舊密鑰，并使用直接來自 Cisco 的映像替換映像。

目標的轉變

公告強調了國家資助的威脅行為者為網絡設備創建自定義惡意軟件以進行網絡間諜和監視的趨勢。

由于邊緣網絡設備不支持端點檢測和響應 (EDR) 解決方案，因此它們正成為威脅參與者的熱門目標。

此外，由于它們位于邊緣，幾乎所有企業網絡流量都流經它們，因此它們是監視網絡流量和收集憑據以進一步訪問網絡的有吸引力的目標。