Cisco bevestigt dat zouttyfoon CVE-2018-0171 misbruikte om Amerikaanse telecommunicatienetwerken aan te vallen
Cisco heeft officieel bevestigd dat de door de Chinese staat gesponsorde dreigingsactor Salt Typhoon met succes Amerikaanse telecommunicatienetwerken heeft geïnfiltreerd door misbruik te maken van een bekende kwetsbaarheid, CVE-2018-0171. Deze beveiligingsfout, gecombineerd met het gebruik van gestolen inloggegevens, stelde de aanvallers in staat om op lange termijn toegang te behouden tot gecompromitteerde omgevingen, waarbij één geval meer dan drie jaar duurde.
Volgens Cisco Talos vertonen de activiteiten van Salt Typhoon een hoog niveau van verfijning, coördinatie en geduld: gemeenschappelijke kenmerken van advanced persistent threat (APT)-groepen. De campagne benadrukt de voortdurende risico's die worden veroorzaakt door actoren van natiestaten die op strategische wijze kritieke infrastructuur infiltreren om diepe en aanhoudende voet aan de grond te krijgen.
Inhoudsopgave
Een langdurige, zeer gecoördineerde cyber-spionagecampagne
Het vermogen van Salt Typhoon om jarenlang onopgemerkt te blijven, benadrukt de geavanceerde tactieken van de groep. Hun persistentie in de apparatuur van meerdere leveranciers suggereert een nauwgezette planning en een goed gefinancierde operatie. In tegenstelling tot opportunistische cybercriminelen die kwetsbaarheden uitbuiten voor direct gewin, streven door de staat gesponsorde actoren zoals Salt Typhoon vaak naar aanhoudende toegang, waardoor ze inlichtingen kunnen verzamelen, operaties kunnen verstoren of zich kunnen voorbereiden op toekomstige cyberaanvallen.
Hoewel eerdere rapporten suggereerden dat Salt Typhoon ook gebruikmaakte van nieuwere kwetsbaarheden, zoals CVE-2023-20198 en CVE-2023-20273, heeft Cisco geen bewijs gevonden dat deze beweringen ondersteunt. In plaats daarvan blijft de primaire methode van exploitatie CVE-2018-0171, een fout in Cisco's Smart Install (SMI)-protocol, gecombineerd met diefstal van inloggegevens.
Gestolen inloggegevens: de sleutel tot eerste toegang
Een essentieel aspect van deze campagne is het gebruik van geldige, gestolen inloggegevens om toegang te krijgen tot netwerkapparaten. Hoewel de exacte methode die Salt Typhoon gebruikte om deze inloggegevens te verkrijgen nog steeds onduidelijk is, suggereert bewijs dat ze actief zochten naar opgeslagen inloggegevens in gecompromitteerde systemen. Ze controleerden ook netwerkverkeer om authenticatiegegevens vast te leggen, met name gericht op SNMP-, TACACS- en RADIUS-protocollen om geheime sleutels en andere inloggegevens te extraheren.
Eenmaal binnen een netwerk, gebruikte Salt Typhoon verschillende technieken om hun bereik uit te breiden en langdurige toegang te garanderen. Deze omvatten het aanpassen van netwerkapparaatconfiguraties, het maken van ongeautoriseerde lokale accounts, het inschakelen van Guest Shell-toegang en het instellen van persistente SSH-toegang.
Technieken voor leven van het land en netwerk-pivoting
Salt Typhoon maakte gebruik van living-off-the-land (LOTL)-technieken, waarbij legitieme systeemtools en infrastructuur worden misbruikt om detectie te voorkomen. Door gecompromitteerde netwerkapparaten als draaipunten te gebruiken, konden ze van het ene telecomnetwerk naar het andere springen terwijl ze verborgen bleven. Deze gecompromitteerde apparaten dienden waarschijnlijk als tussenliggende relais, waardoor aanvallers lateraal naar hun uiteindelijke doelen konden bewegen of routes voor uitgaande data-exfiltratie konden opzetten.
Om detectie verder te ontwijken, manipuleerde Salt Typhoon netwerkconfiguraties door loopback-interfaceadressen op gecompromitteerde switches te wijzigen. Hierdoor konden ze SSH-verbindingen tot stand brengen die toegangscontrolelijsten (ACL's) omzeilden, waardoor onbeperkte beweging binnen de doelomgeving werd toegestaan.
JumbledPath: een aangepast hulpmiddel voor heimelijke operaties
Een van de meest verontrustende ontdekkingen is Salt Typhoon's gebruik van een op maat gemaakte tool genaamd JumbledPath, die specifiek is ontworpen voor stealthy netwerkinfiltratie. Deze op Go gebaseerde ELF-binary stelt aanvallers in staat om packet captures uit te voeren op externe Cisco-apparaten via een actor-gestuurde jump host. De tool kan ook systeemlogs wissen en logging helemaal uitschakelen, waardoor forensische analyse aanzienlijk moeilijker wordt.
Periodieke log-wissingpogingen verminderen de zichtbaarheid van hun activiteiten verder. Salt Typhoon werd waargenomen terwijl hij kritieke logs verwijderde, waaronder .bash_history, auth.log, lastlog, wtmp en btmp, om hun sporen te wissen en ervoor te zorgen dat hun activiteiten gedurende langere perioden onopgemerkt bleven.
Doorlopende exploitatie van Cisco-apparaten
Naast de activiteiten van Salt Typhoon heeft Cisco ook wijdverbreide targeting van zijn apparaten met blootgestelde Smart Install (SMI)-functies gedetecteerd, wat heeft geleid tot de voortdurende exploitatie van CVE-2018-0171. Cisco heeft echter verduidelijkt dat deze activiteit niet is gekoppeld aan Salt Typhoon en niet lijkt te zijn gekoppeld aan een bekende bedreigingsgroep.
Hoe organisaties zich tegen deze aanvallen kunnen verdedigen
Gezien de aanhoudende aard van de activiteiten van Salt Typhoon, moeten organisaties, met name die in de telecommunicatiesector, proactieve stappen ondernemen om hun netwerken te beveiligen. Aanbevolen verdedigingsmaatregelen zijn onder meer:
- Smart Install (SMI) uitschakelen: Als SMI niet nodig is, moet u het uitschakelen om het risico op misbruik te beperken.
- Het afdwingen van multi-factor-authenticatie (MFA): Gestolen inloggegevens zijn minder effectief als MFA vereist is voor authenticatie.
De succesvolle infiltratie van Amerikaanse telecomnetwerken door Salt Typhoon onderstreept het belang van waakzaamheid in cybersecurity. Hun vermogen om een kwetsbaarheid van jaren oud te misbruiken, inloggegevens te stelen en gedurende langere tijd onopgemerkt te blijven, toont het veranderende dreigingslandschap. Organisaties moeten prioriteit geven aan proactieve verdedigingsstrategieën, waaronder robuust patchbeheer, netwerkbewaking en strikte toegangscontroles, om de risico's van door de staat gesponsorde cyberdreigingen te beperken.