A Cisco megerősíti, hogy a Salt Typhoon kihasználta a CVE-2018-0171-et az amerikai távközlési hálózatok megcélzására

Fordítás ide:

A Cisco hivatalosan megerősítette, hogy a kínai állam által támogatott, Salt Typhoon néven ismert fenyegetettség szereplője egy ismert sebezhetőség, a CVE-2018-0171 kihasználásával sikeresen behatolt az amerikai távközlési hálózatokba. Ez a biztonsági hiba az ellopott bejelentkezési adatok használatával kombinálva lehetővé tette a támadók számára, hogy hosszú távon hozzáférjenek a feltört környezetekhez, és egy példány több mint három évig tartott.

A Cisco Talos szerint a Salt Typhoon műveletei magas szintű kifinomultságot, koordinációt és türelmet mutatnak – ez a fejlett, tartós fenyegetés (APT) csoportjaira jellemző. A kampány rávilágít a nemzetállami szereplők által jelentett folyamatos kockázatokra, akik stratégiailag beszivárognak a kritikus infrastruktúrákba, hogy mély és tartós támpontokat teremtsenek.

Tartalomjegyzék

Hosszú távú, erősen koordinált kiberkémkedési kampány

A Salt Typhoon azon képessége, hogy évekig észrevétlen marad, rávilágít a csoport fejlett taktikájára. Kitartásuk több gyártó berendezései között alapos tervezésre és jól finanszírozott működésre utal. Az opportunista kiberbűnözőktől eltérően, akik azonnali haszonszerzés céljából használják ki a sebezhetőséget, az államilag támogatott szereplők, mint például a Salt Typhoon, gyakran törekednek a folyamatos hozzáférésre, lehetővé téve számukra, hogy hírszerzést gyűjtsenek, megzavarják a műveleteket, vagy felkészüljenek a jövőbeli kibertámadásokra.

Míg a korábbi jelentések azt sugallták, hogy a Salt Typhoon újabb sebezhetőségeket is felhasznált, mint például a CVE-2023-20198 és a CVE-2023-20273, a Cisco nem talált bizonyítékot ezen állítások alátámasztására. Ehelyett a kiaknázás elsődleges módja továbbra is a CVE-2018-0171, amely a Cisco Smart Install (SMI) protokolljának hibája, a hitelesítő adatok ellopásával kombinálva.

Ellopott hitelesítő adatok: a kulcs a kezdeti hozzáféréshez

Ennek a kampánynak egy lényeges eleme az érvényes, ellopott hitelesítő adatok használata a hálózati eszközökhöz való hozzáféréshez. Noha a Salt Typhoon által ezeknek a hitelesítő adatoknak a megszerzéséhez használt pontos módszer még mindig nem világos, a bizonyítékok arra utalnak, hogy aktívan keresték a tárolt bejelentkezési adatokat a feltört rendszerekben. Figyelemmel kísérték a hálózati forgalmat is a hitelesítési adatok rögzítése érdekében, különösen az SNMP, TACACS és RADIUS protokollokat célozva meg a titkos kulcsok és egyéb bejelentkezési adatok kinyerése érdekében.

Miután bekerült a hálózatba, a Salt Typhoon különféle technikákat alkalmazott, hogy kiterjessze elérhetőségét és biztosítsa a hosszabb hozzáférést. Ezek közé tartozott a hálózati eszközök konfigurációjának módosítása, jogosulatlan helyi fiókok létrehozása, a Guest Shell hozzáférés engedélyezése és a tartós SSH-hozzáférés beállítása.

A földön kívüli élet technikái és a hálózati elforgatás

A Salt Typhoon a „life-off-the-land” (LOTL) technikákat használta, amelyek magukban foglalják a legitim rendszereszközökkel és infrastruktúrával való visszaélést az észlelés elkerülése érdekében. A veszélyeztetett hálózati eszközök forgáspontként való felhasználásával képesek voltak egyik távközlési hálózatról a másikra ugrani, miközben rejtve maradtak. Ezek a feltört eszközök valószínűleg közbenső közvetítőkként szolgáltak, segítve a támadókat, hogy oldalirányban haladjanak végső célpontjuk felé, vagy kimenő adatkiszűrési útvonalakat hozzanak létre.

Az észlelés további elkerülése érdekében a Salt Typhoon manipulálta a hálózati konfigurációkat azáltal, hogy megváltoztatta a visszacsatolási interfész címét a veszélyeztetett kapcsolókon. Ez lehetővé tette számukra, hogy olyan SSH-kapcsolatokat hozzanak létre, amelyek megkerülték a hozzáférés-vezérlési listákat (ACL), korlátlan mozgást biztosítva a célkörnyezeten belül.

JumbledPath: Egyéni eszköz a lopakodó műveletekhez

Az egyik leginkább aggasztó felfedezés az, hogy a Salt Typhoon a JumbledPath nevű, egyedi tervezésű eszközt használta, amelyet kifejezetten a lopakodó hálózati beszivárgásra terveztek. Ez a Go-alapú ELF bináris fájl lehetővé teszi a támadók számára, hogy csomagrögzítést hajtsanak végre távoli Cisco-eszközökön egy színész által vezérelt ugróállomáson keresztül. Az eszköz a rendszernaplók törlésére és a naplózás teljes letiltására is képes, ami jelentősen megnehezíti a kriminalisztikai elemzést.

Az időszakos naplótörlési erőfeszítések tovább csökkentik tevékenységeik láthatóságát. Megfigyelték, hogy a Salt Typhoon törli a kritikus naplófájlokat, beleértve a .bash_history, auth.log, lastlog, wtmp és btmp fájlokat, hogy lefedje nyomaikat, és biztosítsa, hogy a műveletek hosszabb ideig észrevétlenül maradjanak.

A Cisco-eszközök folyamatos kihasználása

A Salt Typhoon tevékenységein túl a Cisco azt is észlelte, hogy eszközei széles körben megcélozzák a felfedett Smart Install (SMI) funkciókat, ami a CVE-2018-0171 folyamatos kihasználásához vezetett. A Cisco azonban tisztázta, hogy ez a tevékenység nem kapcsolódik a Salt Typhoon-hoz, és úgy tűnik, hogy semmilyen ismert fenyegetéscsoporthoz nem kapcsolódik.

Hogyan védekezhetnek a szervezetek ezekkel a támadásokkal szemben

Tekintettel a Salt Typhoon működésének tartós jellegére, a szervezeteknek – különösen a távközlési szektorban tevékenykedőknek – proaktív lépéseket kell tenniük hálózataik biztonsága érdekében. Az ajánlott védekezési intézkedések a következők:

Az intelligens telepítés (SMI) letiltása: Ha nem szükséges, az SMI-t ki kell kapcsolni a kihasználás kockázatának csökkentése érdekében.
Többtényezős hitelesítés (MFA) kényszerítése: Az ellopott hitelesítő adatok kevésbé hatékonyak, ha MFA szükséges a hitelesítéshez.

A firmware rendszeres frissítése és a javítási sebezhetőségek: A CVE-2018-0171 évek óta ismert, a támadók azonban továbbra is kihasználják a javítatlan rendszerek miatt.

A hálózati forgalom figyelése anomáliák miatt: A szervezeteknek szorosan figyelniük kell a hitelesítési kéréseket, a szokatlan SSH-tevékenységeket és a váratlan konfigurációs változásokat.

Erős hozzáférés-szabályozási irányelvek megvalósítása: A kritikus infrastruktúrákhoz való hozzáférés korlátozása korlátozhatja a támadó azon képességét, hogy oldalirányban mozogjon a hálózaton belül.

A Salt Typhoon sikeres beszivárgása az amerikai távközlési hálózatokba aláhúzza az éberség fontosságát a kiberbiztonság terén. Az a képességük, hogy kihasználják az évek óta fennálló sebezhetőséget, ellopják a hitelesítő adatokat, és huzamosabb ideig észrevétlenül kitartanak, jól mutatja a fenyegetettség alakulását. A szervezeteknek előnyben kell részesíteniük a proaktív védelmi stratégiákat, beleértve a robusztus javításkezelést, a hálózatfelügyeletet és a szigorú hozzáférés-ellenőrzést, hogy csökkentsék az államilag támogatott kiberfenyegetések jelentette kockázatokat.

Az EnigmaSoft fizetési processzora, a Digital River GmbH csődbejelentése nem befolyásolja a SpyHunter ügyfelek rosszindulatú programok elleni védelmét

Keresés

Régió módosítása