APT28 aprovecha una vulnerabilidad conocida para realizar un reconocimiento Malware

34

APT28 aprovecha una vulnerabilidad conocida para realizar un reconocimiento e implementar malware en los enrutadores de Cisco

Malware

 

  1. RESUMEN EJECUTIVO

En 2021, APT28 utilizó la infraestructura para enmascarar el acceso al protocolo simple de administración de red (SNMP) en los enrutadores de Cisco en todo el mundo. Esto incluyó un pequeño número con sede en Europa, instituciones gubernamentales de EE. UU. y aproximadamente 250 víctimas ucranianas.

SNMP está diseñado para permitir que los administradores de red supervisen y configuren dispositivos de red de forma remota, pero también se puede utilizar de forma indebida para obtener información confidencial de la red y, si es vulnerable, explotar dispositivos para penetrar en una red.

Varias herramientas de software pueden escanear toda la red usando SNMP, lo que significa que una configuración deficiente, como el uso de cadenas de comunidad predeterminadas o fáciles de adivinar, puede hacer que una red sea susceptible a ataques.

Las cadenas de comunidad SNMP débiles, incluido el «público» predeterminado, permitieron que APT28 obtuviera acceso a la información del enrutador. APT28 envió comandos SNMP adicionales para enumerar las interfaces del enrutador. [ T1078.001 ]

Los enrutadores comprometidos se configuraron para aceptar solicitudes SNMP v2. SNMP v2 no admite el cifrado, por lo que todos los datos, incluidas las cadenas comunitarias, se envían sin cifrar.

Malware

Explotación de CVE-2017-6742:

APT28 aprovechó la vulnerabilidad CVE-2017-6742 (ID de error de Cisco: CSCve54313) [ T1190]. Esta vulnerabilidad fue anunciada por primera vez por Cisco el 29 de junio de 2017 y se puso a disposición el software parcheado.

El aviso publicado de Cisco proporcionó soluciones alternativas, como limitar el acceso a SNMP solo desde hosts confiables o deshabilitar varias bases de información de administración (MIB) de SNMP.

  1. DESPLIEGUE DE MALWARE

Para algunos de los dispositivos objetivo, los actores de APT28 utilizaron un exploit SNMP para implementar malware, como se detalla en el Informe de análisis de malware de dientes de jaguar del NCSC. Este malware obtuvo más información del dispositivo, que se filtra a través del protocolo de transferencia de archivos trivial (TFTP) y permitió el acceso no autenticado a través de una puerta trasera.

El actor obtuvo esta información del dispositivo mediante la ejecución de una serie de comandos de interfaz de línea de comandos (CLI) a través del malware. Incluye el descubrimiento de otros dispositivos en la red consultando la tabla del Protocolo de resolución de direcciones (ARP) para obtener direcciones MAC.

  1. MITRE

Este aviso se ha compilado con respecto al marco MITRE ATT&CK®, una base de conocimiento accesible a nivel mundial de tácticas y técnicas adversarias basada en observaciones del mundo real. Para conocer los TTP detallados, consulte el Informe de análisis de malware.

 

Táctica

IDENTIFICACIÓN

Técnica

Procedimiento

Acceso inicial

T1190

Aprovechar la aplicación orientada al público.

APT28 explotó cadenas de comunidad predeterminadas/conocidas en SNMP como se describe en CVE-2017-6742 (ID de error de Cisco: CSCve54313).

Acceso inicial

T1078.001

Cuentas válidas: cuentas predeterminadas.

Los actores accedieron a los enrutadores de las víctimas utilizando cadenas comunitarias predeterminadas como «público».

Reconocimiento

T1590

Recopilar información de la red de víctimas

Se obtuvo acceso para realizar un reconocimiento en los dispositivos de las víctimas. Más detalles de cómo se logró esto están disponibles en la sección MITRE ATT&CK del Jaguar Tooth MAR.

 

  1. MITIGACION

Parchee los dispositivos según lo recomendado por Cisco. El NCSC también tiene una guía general sobre cómo administrar las actualizaciones y mantener el software actualizado.

No use SNMP si no necesita configurar o administrar dispositivos de forma remota para evitar que usuarios no autorizados accedan a su enrutador.

Si debe administrar enrutadores de forma remota, establezca listas de permitidos y denegados para mensajes SNMP para evitar que usuarios no autorizados accedan a su enrutador.

No permita protocolos de administración sin cifrar (es decir, texto sin formato), como SNMP v2 y Telnet. Cuando los protocolos encriptados no sean posibles, debe llevar a cabo cualquier actividad de administración desde fuera de la organización a través de una red privada virtual (VPN) encriptada, donde ambos extremos se autentican mutuamente.

Aplicar una política de contraseña segura. No reutilices la misma contraseña para varios dispositivos. Cada dispositivo debe tener una contraseña única. Siempre que sea posible, evite la autenticación basada en contraseña heredada e implemente la autenticación de dos factores basada en la clave pública y privada.

Deshabilite los protocolos no cifrados heredados, como Telnet y SNMP v1 o v2c. Siempre que sea posible, utilice protocolos cifrados modernos como SSH y SNMP v3. Refuerce los protocolos de cifrado en función de las mejores prácticas de seguridad actuales. El NCSC recomienda encarecidamente a los propietarios y operadores que retiren y reemplacen los dispositivos heredados que no se pueden configurar para usar SNMP v3.

Utilice herramientas de registro para registrar los comandos ejecutados en sus dispositivos de red, como TACACS+ y Syslog. Utilice estos registros para resaltar de inmediato los eventos sospechosos y mantenga un registro de los eventos para respaldar una investigación si alguna vez se cuestiona la integridad del dispositivo. Consulte la guía del NCSC sobre monitoreo y registro.

Si sospecha que su enrutador ha sido comprometido:

  • Siga los consejos de Cisco para verificar la imagen de Cisco IOS.
  • Revoque todas las claves asociadas con ese enrutador. Al reemplazar la configuración del enrutador, asegúrese de crear nuevas claves en lugar de pegar desde la configuración anterior.
  • Reemplace la imagen ROMMON y Cisco IOS con una imagen que se haya obtenido directamente del sitio web de Cisco, en caso de que los repositorios internos y de terceros se hayan visto comprometidos.

La guía de infraestructura de red de la NSA proporciona algunas de las mejores prácticas para SNMP.

Consulte también la guía de fortalecimiento de Cisco IOS y el blog Jaguar Tooth de Cisco.

  1. LINKS

-Consejos de Cisco:

https://sec.cloudapps.cisco.com/security/center/resources/integrity_assurance.html

Guía de infraestructura de red de la NSA:

https://media.defense.gov/2022/Jun/15/2003018261/-1/-1/0/CTR_NSA_NETWORK_INFRASTRUCTURE_SECURITY_GUIDE_20220615.PDF

 

-Guía de fortalecimiento de Cisco IOS:

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-108

-El blog Jaguar Tooth de Cisco:

https://blogs.cisco.com/security/threat-actors-exploiting-snmp-vulnerabilities-in-cisco-routers

malware

Ransomware   RESUMEN EJECUTIVO Se ha identificado una nueva cepa de ransomware dirigida a grandes entidades comerciales a la que llamaron CACTUS; …

APT28 aprovecha una vulnerabilidad conocida para realizar un reconocimiento e implementar malware en los enrutadores de Cisco Malware   RESUMEN EJECUTIVO En …

Contáctanos
close slider