Cisco confirma que Salt Typhoon va explotar CVE-2018-0171 per apuntar a les xarxes de telecomunicacions dels EUA

El Mura el Seguretat informàtica

Traduir a:

Cisco ha confirmat oficialment que l'actor d'amenaces patrocinat per l'estat xinès conegut com a Salt Typhoon es va infiltrar amb èxit a les xarxes de telecomunicacions dels EUA aprofitant una vulnerabilitat coneguda, CVE-2018-0171. Aquesta falla de seguretat, combinada amb l'ús de credencials d'inici de sessió robades, va permetre als atacants mantenir l'accés a llarg termini a entorns compromesos, amb una instància que va durar més de tres anys.

Segons Cisco Talos, les operacions de Salt Typhoon presenten un alt nivell de sofisticació, coordinació i paciència, trets comuns dels grups d'amenaça persistent avançada (APT). La campanya subratlla els riscos actuals que representen els actors de l'estat-nació que s'infiltren estratègicament en infraestructures crítiques per establir punts de suport profunds i persistents.

Taula de continguts

Una campanya de ciberespionatge a llarg termini i altament coordinada

La capacitat de Salt Typhoon per romandre sense ser detectat durant anys posa de manifest les tàctiques avançades del grup. La seva persistència en l'equip de diversos venedors suggereix una planificació meticulosa i una operació ben finançada. A diferència dels ciberdelinqüents oportunistes que exploten les vulnerabilitats per obtenir beneficis immediats, els actors patrocinats per l'estat com Salt Typhoon sovint tenen com a objectiu un accés sostingut, cosa que els permet recollir informació, interrompre les operacions o preparar-se per a futurs ciberatacs.

Tot i que els informes anteriors van suggerir que Salt Typhoon també va aprofitar vulnerabilitats més noves, com ara CVE-2023-20198 i CVE-2023-20273, Cisco no ha trobat cap evidència que doni suport a aquestes afirmacions. En canvi, el mètode principal d'explotació segueix sent CVE-2018-0171, un defecte del protocol Smart Install (SMI) de Cisco, combinat amb el robatori de credencials.

Credencials robades: la clau per a l'accés inicial

Un aspecte essencial d'aquesta campanya és l'ús de credencials vàlides i robades per accedir als dispositius de xarxa. Tot i que el mètode exacte que va utilitzar Salt Typhoon per obtenir aquestes credencials encara no està clar, l'evidència suggereix que van cercar activament les dades d'inici de sessió emmagatzemades en sistemes compromesos. També van supervisar el trànsit de xarxa per capturar dades d'autenticació, específicament dirigits als protocols SNMP, TACACS i RADIUS per extreure claus secretes i altres credencials d'inici de sessió.

Un cop dins d'una xarxa, Salt Typhoon va utilitzar diverses tècniques per ampliar el seu abast i garantir un accés prolongat. Aquests incloïen modificar les configuracions dels dispositius de xarxa, crear comptes locals no autoritzats, habilitar l'accés de Guest Shell i configurar l'accés SSH persistent.

Tècniques de Viure de la Terra i Pivot en Xarxa

Salt Typhoon va aprofitar les tècniques de vida fora de la terra (LOTL), que impliquen abusar d'eines i infraestructures legítimes del sistema per evitar la detecció. Mitjançant l'ús de dispositius de xarxa compromesos com a punts de pivot, van poder saltar d'una xarxa de telecomunicacions a una altra mentre romanien ocults. Aquests dispositius compromesos probablement van servir com a relés intermedis, ajudant als atacants a moure's lateralment cap als seus objectius finals o a establir rutes d'exfiltració de dades de sortida.

Per evadir encara més la detecció, Salt Typhoon va manipular les configuracions de xarxa modificant les adreces de la interfície de bucle en els commutadors compromesos. Això els va permetre establir connexions SSH que passaven per alt les llistes de control d'accés (ACL), garantint un moviment sense restriccions dins de l'entorn objectiu.

JumbledPath: una eina personalitzada per a operacions furtives

Un dels descobriments més preocupants és l'ús per part de Salt Typhoon d'una eina personalitzada anomenada JumbledPath, que està dissenyada específicament per a la infiltració furtiva de la xarxa. Aquest binari ELF basat en Go permet als atacants executar captures de paquets en dispositius Cisco remots mitjançant un host de salt controlat per l'actor. L'eina també pot esborrar els registres del sistema i desactivar el registre del tot, fent que l'anàlisi forense sigui molt més difícil.

Els esforços periòdics d'esborrat de registre redueixen encara més la visibilitat de les seves activitats. Es va observar que Salt Typhoon eliminava els registres crítics, inclosos .bash_history, auth.log, lastlog, wtmp i btmp, per cobrir les seves pistes i assegurar-se que les seves operacions no es detectessin durant períodes prolongats.

Explotació en curs dels dispositius Cisco

Més enllà de les activitats de Salt Typhoon, Cisco també ha detectat una orientació generalitzada dels seus dispositius amb funcions d'instal·lació intel·ligent (SMI) exposades, fet que ha provocat l'explotació continuada de CVE-2018-0171. Tanmateix, Cisco va aclarir que aquesta activitat no està relacionada amb Salt Typhoon i no sembla estar associada amb cap grup d'amenaça conegut.

Com les organitzacions poden defensar-se d'aquests atacs

Donada la naturalesa persistent de les operacions de Salt Typhoon, les organitzacions, especialment les del sector de les telecomunicacions, han de prendre mesures proactives per assegurar les seves xarxes. Les mesures defensives recomanades inclouen:

Desactivació de la instal·lació intel·ligent (SMI): si no és necessari, s'ha de desactivar SMI per mitigar el risc d'explotació.
Aplicació de l'autenticació multifactor (MFA): les credencials robades són menys efectives si es requereix MFA per a l'autenticació.

Actualització periòdica del firmware i de les vulnerabilitats de pedaços: CVE-2018-0171 es coneix des de fa anys, però els atacants continuen explotant-lo a causa dels sistemes sense pegats.

Supervisió del trànsit de xarxa per a anomalies: les organitzacions haurien de supervisar de prop les sol·licituds d'autenticació, l'activitat SSH inusual i els canvis de configuració inesperats.

Implementació de polítiques de control d'accés sòlides: la restricció de l'accés a la infraestructura crítica pot limitar la capacitat d'un atacant de moure's lateralment dins de la xarxa.

L'èxit de la infiltració de Salt Typhoon a les xarxes de telecomunicacions dels EUA subratlla la importància de la vigilància en la ciberseguretat. La seva capacitat per explotar una vulnerabilitat d'anys, robar credencials i persistir sense detectar-se durant períodes prolongats demostra l'evolució del panorama d'amenaces. Les organitzacions han de prioritzar les estratègies de defensa proactives, com ara una gestió sòlida de pedaços, un seguiment de la xarxa i controls d'accés estrictes, per mitigar els riscos que representen les amenaces cibernètiques patrocinades per l'estat.

El processador de pagaments d'EnigmaSoft, Digital River GmbH, la declaració de fallida no afecta la protecció antimalware dels clients de SpyHunter

Cerca

Canvia de regió