A Static Tundra nem frissített hálózati eszközöket támad

A Cisco Talos által közzétett jelentés szerint a Static Tundra néven azonosított, orosz állami támogatású csoport, amelyet nagy valószínűséggel az FSB 16-os központjához kötnek, éveken át kompromittált elavult és nem frissített Cisco hálózati eszközöket.

A támadók elsősorban a 2018-ban javított, ám sok eszközön még mindig kihasználható CVE-2018-0171 sérülékenységet használták ki a Cisco IOS Smart Install funkcióján keresztül. A céljuk a hosszú távú megfigyelés és adatgyűjtés, amely során konfigurációs fájlokat szivárogtattak ki, tartós hozzáférést építettek ki, és az infrastruktúra különféle részeire terjeszkedtek tovább. Az érintett szektorok között megtalálható a távközlés, a felsőoktatás és a gyártásipar világszerte, különösen Észak-Amerikában, Európában, Ázsiában és Afrikában, a célpontok pedig az orosz állam stratégiai érdekei mentén változtak.

A Static Tundra kifinomult technikákat alkalmaz a hozzáférés megszerzésére és fenntartására, mint például a SYNful Knock firmware implantátum vagy az egyedi SNMP eszközök használata. Az elsődleges belépési pontok a Smart Install sérülékenységen, valamint kompromittált vagy gyenge SNMP közösségi stringeken keresztül történtek. A támadók gyakran konfigurációs fájlokat szivárogtattak ki TFTP, FTP vagy SNMP kapcsolatokon keresztül, és létrehoztak helyi felhasználókat vagy SNMP közösségi hozzáféréseket a tartós jelenlét érdekében. A Cisco részletes ajánlásokat tett közzé a védekezéshez, beleértve a javítások telepítését, a Smart Install funkció letiltását, a hozzáférési listák felülvizsgálatát, titkosított kommunikációs protokollok alkalmazását és az adminisztrációs felületek korlátozását. A Talos figyelmeztet: más állami fenyegetők is valószínűleg hasonló módon célba vehetik a hálózati eszközöket, így a szervezetek számára létfontosságú a megelőző intézkedések szigorú betartása.

(forrás)