הצעת הנחה מרובה רישיונות
אבטחת מחשבים סיסקו מאשרת את ניצול המלח טייפון CVE-2018-0171 כדי לכוון...

סיסקו מאשרת את ניצול המלח טייפון CVE-2018-0171 כדי לכוון לרשתות טלקום בארה"ב

עד Mura ב-אבטחת מחשבים
לתרגם ל:
עברית

סיסקו אישרה רשמית ששחקן האיומים בחסות המדינה הסינית הידוע בשם Salt Typhoon חדר בהצלחה לרשתות תקשורת בארה"ב על ידי ניצול פגיעות ידועה, CVE-2018-0171. פגם אבטחה זה, בשילוב עם שימוש באישורי התחברות גנובים, אפשרו לתוקפים לשמור על גישה ארוכת טווח לסביבות שנפגעו, כאשר מקרה אחד נמשך יותר משלוש שנים.

לפי סיסקו טאלוס, הפעילות של Salt Typhoon מציגה רמה גבוהה של תחכום, קואורדינציה וסבלנות - תכונות נפוצות של קבוצות מתקדמות של איום מתמשך (APT). הקמפיין מדגיש את הסיכונים המתמשכים הנשקפים על ידי שחקנים במדינת לאום שחודרים אסטרטגית לתשתיות קריטיות כדי לבסס אחיזות רגליים עמוקות ומתמשכות.

קמפיין ריגול סייבר מתואם לטווח ארוך

היכולת של Salt Typhoon להישאר בלתי מזוהה במשך שנים מדגישה את הטקטיקה המתקדמות של הקבוצה. ההתמדה שלהם על פני ציוד של ספקים מרובים מעידה על תכנון קפדני ומבצע ממומן היטב. בניגוד לפושעי סייבר אופורטוניסטים המנצלים פגיעויות לרווח מיידי, שחקנים בחסות המדינה כמו Salt Typhoon שואפים לעתים קרובות לגישה מתמשכת, מה שמאפשר להם לאסוף מודיעין, לשבש פעולות או להתכונן למתקפות סייבר עתידיות.

בעוד שדיווחים קודמים העלו כי Salt Typhoon מינפה גם נקודות תורפה חדשות יותר, כגון CVE-2023-20198 ו-CVE-2023-20273, סיסקו לא מצאה ראיות התומכות בטענות אלו. במקום זאת, שיטת הניצול העיקרית נותרה CVE-2018-0171, פגם בפרוטוקול ההתקנה החכמה (SMI) של סיסקו, בשילוב עם גניבת אישורים.

אישורים גנובים: המפתח לגישה ראשונית

היבט חיוני של מסע פרסום זה הוא השימוש באישורים תקפים וגנובים כדי לקבל גישה להתקני רשת. בעוד השיטה המדויקת שבה השתמש Salt Typhoon כדי להשיג את האישורים הללו עדיין לא ברורה, עדויות מצביעות על כך שהם חיפשו באופן פעיל אחר פרטי התחברות מאוחסנים בתוך מערכות שנפגעו. הם גם ניטרו על תעבורת רשת כדי ללכוד נתוני אימות, תוך מיקוד ספציפי לפרוטוקולי SNMP, TACACS ו-RADIUS כדי לחלץ מפתחות סודיים ואישורי כניסה אחרים.

ברגע שנכנס לרשת, Salt Typhoon השתמש בטכניקות שונות כדי להרחיב את טווח ההגעה שלהם ולהבטיח גישה ממושכת. אלה כללו שינוי תצורות מכשירי רשת, יצירת חשבונות מקומיים לא מורשים, הפעלת גישה ל-Guest Shell והגדרת גישת SSH מתמשכת.

טכניקות לחיות מחוץ לאדמה וצירופי רשת

Salt Typhoon מינפה טכניקות לחיות מחוץ לאדמה (LOTL), הכוללות ניצול לרעה של כלי מערכת ותשתית לגיטימיים כדי להימנע מגילוי. על ידי שימוש בהתקני רשת שנפגעו כנקודות ציר, הם הצליחו לקפוץ מרשת טלקום אחת לאחרת תוך שהם נשארים מוסתרים. סביר להניח שהמכשירים שנפרצו שימשו כממסרי ביניים, ועזרו לתוקפים לנוע לרוחב לעבר המטרות הסופיות שלהם או להקים נתיבי חילוץ נתונים יוצאים.

כדי להתחמק עוד יותר מזיהוי, Salt Typhoon תמרה תצורות רשת על ידי שינוי כתובות ממשק הלולאה במתגים שנפרצו. זה איפשר להם ליצור חיבורי SSH שעקפו רשימות בקרת גישה (ACL), מה שהעניק תנועה בלתי מוגבלת בתוך סביבת היעד.

JumbledPath: כלי מותאם אישית לפעולות חמקנות

אחת התגליות המדאיגות ביותר היא השימוש של Salt Typhoon בכלי שנבנה בהתאמה אישית בשם JumbledPath, שתוכנן במיוחד לחדירת רשת חמקנית. בינארי ELF מבוסס Go זה מאפשר לתוקפים לבצע לכידת מנות במכשירי סיסקו מרוחקים באמצעות מארח קפיצה הנשלט על ידי שחקן. הכלי יכול גם לנקות יומני מערכת ולנטרל רישום כליל, מה שהופך את הניתוח המשפטי לקשה משמעותית.

מאמצי מחיקת יומנים תקופתיים מפחיתים עוד יותר את הנראות לפעילותם. Salt Typhoon נצפה כשהוא מוחק יומנים קריטיים, לרבות .bash_history, auth.log, lastlog, wtmp ו-btmp, כדי לכסות את עקבותיהם ולהבטיח שהפעולות שלהם יישארו בלתי מזוהות לתקופות ממושכות.

ניצול מתמשך של מכשירי Cisco

מעבר לפעילויות של Salt Typhoon, סיסקו זיהתה גם מיקוד נרחב של המכשירים שלה עם תכונות חשופות של התקנה חכמה (SMI), מה שהוביל לניצול מתמשך של CVE-2018-0171. עם זאת, סיסקו הבהירה כי פעילות זו אינה קשורה ל-Salt Typhoon ולא נראה שהיא קשורה לקבוצת איומים ידועה כלשהי.

כיצד ארגונים יכולים להתגונן מפני התקפות אלו

בהתחשב באופי המתמשך של הפעילות של Salt Typhoon, ארגונים - במיוחד אלו במגזר הטלקומוניקציה - חייבים לנקוט בצעדים יזומים כדי לאבטח את הרשתות שלהם. אמצעי הגנה מומלצים כוללים:

  • השבתת התקנה חכמה (SMI): אם לא נדרש, יש לכבות את SMI כדי להפחית את הסיכון לניצול.
  • אכיפת אימות רב-גורמי (MFA): אישורים גנובים פחות יעילים אם נדרש MFA לצורך אימות.
  • עדכון שוטף של פרצות קושחה ותיקונים: CVE-2018-0171 ידוע כבר שנים, ובכל זאת התוקפים ממשיכים לנצל אותו בגלל מערכות לא מתוקנות.
  • ניטור תנועת רשת לאיתור חריגות: ארגונים צריכים לעקוב מקרוב אחר בקשות אימות, פעילות SSH חריגה ושינויי תצורה בלתי צפויים.
  • הטמעת מדיניות בקרת גישה חזקה: הגבלת גישה לתשתית קריטית יכולה להגביל את יכולתו של התוקף לנוע לרוחב בתוך הרשת.

    • חדירתה המוצלחת של Salt Typhoon לרשתות טלקום בארה"ב מדגישה את חשיבותה של ערנות באבטחת סייבר. היכולת שלהם לנצל פגיעות בת שנים, לגנוב אישורים ולהתמיד ללא זיהוי לתקופות ממושכות מדגים את נוף האיומים המתפתח. ארגונים חייבים לתעדף אסטרטגיות הגנה פרואקטיביות, כולל ניהול טלאים חזק, ניטור רשת ובקרות גישה קפדניות, כדי להפחית את הסיכונים הכרוכים מאיומי סייבר בחסות המדינה.

    טוען...