Figyelmeztetés routerek kihasználására

Editors' Pick

Az NSA, a CISA, az FBI és további 16 nemzetközi kiberbiztonsági szervezet közös figyelmeztetése szerint az orosz Szövetségi Biztonsági Szolgálat (FSzB) 16. központjához köthető szereplők továbbra is világszerte keresik és kompromittálják a hibásan konfigurált vagy elavult hálózati eszközöket, elsősorban routereket. A támadások nem kifinomult nulladik napi sérülékenységekre épülnek, hanem alapvető konfigurációs hibákra, például az SNMP v1/v2 protokoll használatára, az alapértelmezett community stringekre, a Cisco Smart Install engedélyezett állapotára és a nyilvánosan elérhető menedzsmentfelületekre. A támadók aktív internetes szkenneléssel azonosítják a sebezhető eszközöket, majd SNMP Set kérésekkel elérik, hogy az útválasztók konfigurációs állományukat TFTP-n keresztül egy általuk felügyelt szerverre mentsék. Ezek a konfigurációk gyakran hitelesítő adatokat, hálózati topológiát és egyéb érzékeny információkat tartalmaznak, amelyek további kompromittálások alapjául szolgálhatnak. A kampány emellett ismert Cisco sérülékenységek – például a CVE-2018-0171 – kihasználását is magában foglalja.

A közös tanácsadás hangsúlyozza, hogy ezek a módszerek évek óta ismertek, mégis továbbra is eredményesek, mert számos szervezet nem alkalmazza a legalapvetőbb hálózatvédelmi intézkedéseket. A szerzők ezért az SNMPv3 használatát, az SNMPv1/v2 letiltását, az alapértelmezett community stringek megszüntetését, a Cisco Smart Install kikapcsolását, az erős hitelesítés és a többtényezős azonosítás alkalmazását, valamint a menedzsmentprotokollok hozzáférésének ACL-ekkel történő korlátozását javasolják. Emellett kiemelik a firmware-ek rendszeres frissítésének, az internet felől elérhető hálózati eszközök folyamatos felderítésének, valamint az SNMP-hez kapcsolódó Object Identifier hívások monitorozásának jelentőségét. A hálózati infrastruktúra megfelelő konfigurálása továbbra is az egyik leghatékonyabb védekezési mód az államilag támogatott kiberműveletekkel szemben, mivel a legtöbb sikeres kompromittálás nem fejlett támadási technikák, hanem régóta ismert konfigurációs hibák következménye.

FORRÁS – Five Eyes

FORRÁS – UK

FORRÁS – Kanada