Las agencias de ciberseguridad e inteligencia del Reino Unido y EE. prevenido de actores del estado-nación rusos que explotan fallas ahora reparadas en equipos de red de Cisco para realizar reconocimiento y desplegar malware contra objetivos seleccionados.
El intrusionessegún las autoridades, tuvo lugar en 2021 y apuntó a un pequeño número de entidades en Europa, instituciones gubernamentales de EE. UU. y unas 250 víctimas ucranianas.
La actividad se ha atribuido a un actor de amenazas rastreado como APT28, que también se conoce como Fancy Bear, Forest Blizzard (anteriormente Strontium), FROZENLAKE y Sofacy, y está afiliado a la Dirección Principal de Inteligencia del Estado Mayor de Rusia (GRU).
«Se sabe que APT28 accede a enrutadores vulnerables mediante el uso de cadenas de comunidad SNMP débiles y predeterminadas, y mediante la explotación de CVE-2017-6742», dijo el Centro Nacional de Seguridad Cibernética (NCSC).
CVE-2017-6742 (puntaje CVSS: 8.8) es parte de un conjunto de fallas de ejecución remota de código que se derivan de un condición de desbordamiento de búfer en el Protocolo simple de administración de red (SNMP) subsistema en el software Cisco IOS e IOS XE.
En los ataques observados por las agencias, el actor de amenazas utilizó la vulnerabilidad como arma para implementar un malware no persistente denominado Jaguar Tooth en los enrutadores de Cisco que es capaz de recopilar información del dispositivo y permitir el acceso de puerta trasera no autenticado.
Si bien Cisco solucionó los problemas en junio de 2017, desde el 11 de enero de 2018 se explotaron públicamente, lo que subraya la necesidad de prácticas sólidas de administración de parches para limitar la superficie de ataque.
Además de actualizar al último firmware para mitigar amenazas potenciales, la compañía también recomienda que los usuarios cambien de SNMP a NETCONF o RESTCONF para la gestión de la red.
Cisco Talos, en un aviso coordinado, dijo que los ataques son parte de un campaña más amplia contra dispositivos y software de red obsoletos de una variedad de proveedores para «objetivos de espionaje avanzados o preposicionamiento para futuras actividades destructivas».
Esto incluye la instalación de software malicioso en un dispositivo de infraestructura, intentos de vigilar el tráfico de la red y ataques montados por «adversarios con acceso preexistente a entornos internos dirigidos a servidores TACACS+/RADIUS para obtener credenciales».
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
«Los dispositivos de enrutamiento/conmutador son estables, se examinan con poca frecuencia desde una perspectiva de seguridad, a menudo tienen parches deficientes y brindan una visibilidad profunda de la red», dijo Matt Olney, director de inteligencia e interdicción de amenazas en Cisco.
«Son el objetivo perfecto para un adversario que busca ser silencioso y tener acceso a una importante capacidad de inteligencia, así como un punto de apoyo en una red preferida. Las agencias nacionales de inteligencia y los actores patrocinados por el estado en todo el mundo han atacado la infraestructura de la red como objetivo de preferencia primaria».
La alerta se produce meses después de que el gobierno de los EE. UU. hiciera sonar la alarma sobre los equipos de piratería del estado-nación con sede en China que aprovechan las vulnerabilidades de la red para explotar las organizaciones del sector público y privado desde al menos 2020.
Luego, a principios de este año, Mandiant, propiedad de Google, destacó los esfuerzos realizados por los actores de amenazas patrocinados por el estado chino para implementar malware a medida en dispositivos vulnerables de Fortinet y SonicWall.
«Los actores de amenazas de espionaje cibernético avanzado están aprovechando cualquier tecnología disponible para persistir y atravesar un entorno objetivo, especialmente aquellas tecnologías que no admiten [endpoint detection and response] soluciones», dijo Mandiant.