Az FBI kompromittált EdgeRouterekkel kapcsolatban figyelmeztet

Az FBI, az NSA, az US Cyber Command és nemzetközi partnereik közös kiberbiztonsági jelentést adtak ki, mely az orosz állam által támogatott kiberszereplőkre figyelmeztet, akik a kompromittált Ubiquiti EdgeRoutereket rosszindulatú kiberműveletek végrehajtására használnak fel.

Az APT28 vagy Fancy Bear néven azonosított veszélyeztető szereplők hitelesítő adatokat, NTLMv2 digesteket gyűjtöttek, hálózati forgalmat proxiztak. A jelentés hangsúlyozza az APT28 tevékenységével kapcsolatos kockázatok csökkentésére irányuló azonnali intézkedések fontosságát, beleértve a hardver gyári visszaállítását, a firmware legújabb verziójára való frissítést, az alapértelmezett felhasználónevek és jelszavak megváltoztatását, valamint stratégiai tűzfalszabályok bevezetését a WAN-oldali interfészeken.

A dokumentum továbbá kiemeli a hálózat tulajdonosok részére hosszú távú kockázatcsökkentési stratégiát ajánl, valamint olyan útválasztók és berendezések használatát javasolja, amelyek megfelelnek a biztonságos tervezés elveinek, megszüntetik az alapértelmezett jelszavakat, és foglalkoznak a SOHO útválasztók hibáival. A jelentés megemlíti a kompromittálódás konkrét jeleit is, például az OpenSSH trójai által veszélyeztetett EdgeRouterek által megjelenített egyedi SSH azonosító karakterláncot, és útmutatást ad a fertőzések észleléséhez olyan eszközökkel, mint a Netcat. Összességében a jelentés átfogó útmutatóként szolgál az EdgeRouter hálózatok védelmezői és felhasználói számára, hogy megvédjék rendszereiket az APT28 fenyegetésekkel szemben, és fokozzák a kiberbiztonsági ellenálló képességet.

(forrás)