Computersikkerhed Cisco bekræfter Salt Typhoon udnyttet CVE-2018-0171 til...

Cisco bekræfter Salt Typhoon udnyttet CVE-2018-0171 til at målrette mod amerikanske telenetværk

Cisco har officielt bekræftet, at den kinesiske statssponserede trusselsaktør kendt som Salt Typhoon med succes infiltrerede amerikanske telekommunikationsnetværk ved at udnytte en kendt sårbarhed, CVE-2018-0171. Denne sikkerhedsfejl, kombineret med brugen af stjålne login-legitimationsoplysninger, gjorde det muligt for angriberne at opretholde langsigtet adgang til kompromitterede miljøer, hvor en forekomst varede mere end tre år.

Ifølge Cisco Talos udviser Salt Typhoons operationer et højt niveau af sofistikering, koordination og tålmodighed - fælles træk for avancerede persistente trusler (APT) grupper. Kampagnen understreger de løbende risici, som nationalstatsaktører udgør, som strategisk infiltrerer kritisk infrastruktur for at etablere dybt og vedvarende fodfæste.

En langsigtet, meget koordineret cyberspionagekampagne

Salt Typhoons evne til at forblive uopdaget i årevis fremhæver gruppens avancerede taktik. Deres vedholdenhed på tværs af flere leverandørers udstyr tyder på omhyggelig planlægning og en velfinansieret operation. I modsætning til opportunistiske cyberkriminelle, der udnytter sårbarheder til øjeblikkelig vinding, sigter statssponsorerede aktører som Salt Typhoon ofte efter vedvarende adgang, hvilket giver dem mulighed for at indsamle efterretninger, forstyrre operationer eller forberede sig på fremtidige cyberangreb.

Mens tidligere rapporter antydede, at Salt Typhoon også udnyttede nyere sårbarheder, såsom CVE-2023-20198 og CVE-2023-20273, har Cisco ikke fundet beviser, der understøtter disse påstande. I stedet forbliver den primære udnyttelsesmetode CVE-2018-0171, en fejl i Ciscos Smart Install (SMI)-protokol, kombineret med tyveri af legitimationsoplysninger.

Stjålne legitimationsoplysninger: Nøglen til indledende adgang

Et væsentligt aspekt af denne kampagne er brugen af gyldige, stjålne legitimationsoplysninger for at få adgang til netværksenheder. Mens den nøjagtige metode, Salt Typhoon brugte til at opnå disse legitimationsoplysninger, stadig er uklar, tyder beviser på, at de aktivt søgte efter lagrede loginoplysninger i kompromitterede systemer. De overvågede også netværkstrafik for at fange godkendelsesdata, specifikt målrettet mod SNMP-, TACACS- og RADIUS-protokoller for at udtrække hemmelige nøgler og andre login-legitimationsoplysninger.

Da Salt Typhoon først var inde i et netværk, brugte forskellige teknikker til at udvide deres rækkevidde og sikre langvarig adgang. Disse omfattede ændring af netværksenhedskonfigurationer, oprettelse af uautoriserede lokale konti, aktivering af Guest Shell-adgang og opsætning af vedvarende SSH-adgang.

Living-off-the-Land-teknikker og netværkspivotering

Salt Typhoon udnyttede living-off-the-land (LOTL) teknikker, som involverer misbrug af legitime systemværktøjer og infrastruktur for at undgå opdagelse. Ved at bruge kompromitterede netværksenheder som omdrejningspunkter var de i stand til at hoppe fra et telenetværk til et andet, mens de forblev skjulte. Disse kompromitterede enheder fungerede sandsynligvis som mellemliggende relæer, der hjalp angribere med enten at bevæge sig sideværts mod deres ultimative mål eller etablere udgående dataeksfiltreringsruter.

For yderligere at undgå registrering manipulerede Salt Typhoon netværkskonfigurationer ved at ændre loopback-grænsefladeadresser på kompromitterede switches. Dette gjorde det muligt for dem at etablere SSH-forbindelser, der omgik adgangskontrollister (ACL'er), hvilket gav ubegrænset bevægelse inden for målmiljøet.

JumbledPath: Et brugerdefineret værktøj til snigende operationer

En af de mest bekymrende opdagelser er Salt Typhoons brug af et specialbygget værktøj ved navn JumbledPath, som er specielt designet til snigende netværksinfiltration. Denne Go-baserede ELF-binærfil gør det muligt for angribere at udføre pakkefangster på fjerntliggende Cisco-enheder via en aktørstyret jump-vært. Værktøjet kan også rydde systemlogfiler og deaktivere logning helt, hvilket gør retsmedicinske analyser betydeligt vanskeligere.

Periodiske indsats for sletning af log reducerer yderligere synligheden af deres aktiviteter. Salt Typhoon blev observeret ved at slette kritiske logfiler, inklusive .bash_history, auth.log, lastlog, wtmp og btmp, for at dække deres spor og sikre, at deres operationer forblev uopdaget i længere perioder.

Løbende udnyttelse af Cisco-enheder

Ud over Salt Typhoons aktiviteter har Cisco også opdaget udbredt målretning af sine enheder med eksponerede Smart Install (SMI) funktioner, hvilket fører til den fortsatte udnyttelse af CVE-2018-0171. Cisco præciserede dog, at denne aktivitet ikke er knyttet til Salt Typhoon og ikke ser ud til at være forbundet med nogen kendt trusselgruppe.

Hvordan organisationer kan forsvare sig mod disse angreb

I betragtning af den vedvarende karakter af Salt Typhoons operationer, må organisationer – især dem i telekommunikationssektoren – tage proaktive skridt for at sikre deres netværk. Anbefalede defensive foranstaltninger omfatter:

  • Deaktivering af Smart Install (SMI): Hvis det ikke er nødvendigt, skal SMI slås fra for at mindske risikoen for udnyttelse.
  • Håndhævelse af Multi-Factor Authentication (MFA): Stjålne legitimationsoplysninger er mindre effektive, hvis MFA er påkrævet til godkendelse.
  • Regelmæssig opdatering af firmware- og patchningssårbarheder: CVE-2018-0171 har været kendt i årevis, men alligevel fortsætter angribere med at udnytte det på grund af ikke-patchede systemer.
  • Overvågning af netværkstrafik for uregelmæssigheder: Organisationer bør nøje overvåge godkendelsesanmodninger, usædvanlig SSH-aktivitet og uventede konfigurationsændringer.
  • Implementering af stærke adgangskontrolpolitikker: Begrænsning af adgang til kritisk infrastruktur kan begrænse en angribers evne til at bevæge sig sideværts inden for netværket.
  • Salt Typhoons succesrige infiltration af amerikanske telenetværk understreger vigtigheden af årvågenhed inden for cybersikkerhed. Deres evne til at udnytte en år gammel sårbarhed, stjæle legitimationsoplysninger og fortsætte uopdaget i længere perioder demonstrerer det udviklende trusselslandskab. Organisationer skal prioritere proaktive forsvarsstrategier, herunder robust patch-styring, netværksovervågning og streng adgangskontrol, for at afbøde de risici, som statssponsorerede cybertrusler udgør.

    Indlæser...