Cisco bekräftar att Salt Typhoon utnyttjat CVE-2018-0171 för att rikta in sig på amerikanska telekomnätverk
Cisco har officiellt bekräftat att den kinesiska statligt sponsrade hotaktören känd som Salt Typhoon framgångsrikt infiltrerat amerikanska telekommunikationsnätverk genom att utnyttja en känd sårbarhet, CVE-2018-0171. Detta säkerhetsbrist, i kombination med användningen av stulna inloggningsuppgifter, gjorde det möjligt för angriparna att upprätthålla långtidsåtkomst till komprometterade miljöer, med en instans som varade i mer än tre år.
Enligt Cisco Talos uppvisar Salt Typhoons verksamhet en hög nivå av sofistikering, koordination och tålamod – vanliga drag hos avancerade persistent hot-grupper (APT). Kampanjen understryker de pågående riskerna som utgörs av nationalstatliga aktörer som strategiskt infiltrerar kritisk infrastruktur för att etablera djupa och ihållande fotfästen.
Innehållsförteckning
En långvarig, mycket koordinerad cyberspionagekampanj
Salt Typhoons förmåga att förbli oupptäckt i flera år framhäver gruppens avancerade taktik. Deras uthållighet över flera leverantörers utrustning tyder på noggrann planering och en välfinansierad verksamhet. Till skillnad från opportunistiska cyberbrottslingar som utnyttjar sårbarheter för omedelbar vinning, siktar statligt sponsrade aktörer som Salt Typhoon ofta på varaktig åtkomst, vilket gör att de kan samla in underrättelser, störa operationer eller förbereda sig för framtida cyberattacker.
Medan tidigare rapporter antydde att Salt Typhoon också utnyttjade nyare sårbarheter, såsom CVE-2023-20198 och CVE-2023-20273, har Cisco inte hittat några bevis som stöder dessa påståenden. Istället förblir den primära metoden för exploatering CVE-2018-0171, ett fel i Ciscos Smart Install (SMI)-protokoll, kombinerat med identitetsstöld.
Stulna inloggningsuppgifter: Nyckeln till första åtkomst
En viktig aspekt av denna kampanj är användningen av giltiga, stulna referenser för att få tillgång till nätverksenheter. Även om den exakta metoden Salt Typhoon använde för att få dessa referenser fortfarande är oklar, tyder bevis på att de aktivt sökte efter lagrade inloggningsuppgifter inom komprometterade system. De övervakade också nätverkstrafik för att fånga autentiseringsdata, specifikt inriktade på SNMP-, TACACS- och RADIUS-protokoll för att extrahera hemliga nycklar och andra inloggningsuppgifter.
Väl inne i ett nätverk använde Salt Typhoon olika tekniker för att utöka sin räckvidd och säkerställa långvarig åtkomst. Dessa inkluderade att ändra nätverksenhetskonfigurationer, skapa obehöriga lokala konton, aktivera Guest Shell-åtkomst och ställa in beständig SSH-åtkomst.
Living-off-the-Land-tekniker och nätverksvängning
Salt Typhoon utnyttjade LOTL-tekniker (living-off-the-land), som innebär att legitima systemverktyg och infrastruktur missbrukas för att undvika upptäckt. Genom att använda komprometterade nätverksenheter som pivotpunkter kunde de hoppa från ett telekomnätverk till ett annat medan de förblev dolda. Dessa komprometterade enheter fungerade sannolikt som mellanliggande reläer, och hjälpte angripare att antingen röra sig i sidled mot sina slutmål eller etablera utgående dataexfiltreringsvägar.
För att ytterligare undvika upptäckt manipulerade Salt Typhoon nätverkskonfigurationer genom att ändra loopback-gränssnittsadresser på komprometterade switchar. Detta gjorde det möjligt för dem att upprätta SSH-anslutningar som kringgick åtkomstkontrollistor (ACL), vilket gav obegränsad rörelse inom målmiljön.
JumbledPath: Ett anpassat verktyg för smygoperationer
En av de mest oroande upptäckterna är Salt Typhoons användning av ett specialbyggt verktyg vid namn JumbledPath, som är speciellt designat för smygnätinfiltrering. Denna Go-baserade ELF-binär gör det möjligt för angripare att utföra paketfångningar på fjärranslutna Cisco-enheter via en aktörskontrollerad hoppvärd. Verktyget kan också rensa systemloggar och inaktivera loggning helt, vilket gör kriminalteknisk analys avsevärt svårare.
Periodiska ansträngningar för att radera loggar minskar ytterligare insynen i deras aktiviteter. Salt Typhoon observerades ta bort kritiska loggar, inklusive .bash_history, auth.log, lastlog, wtmp och btmp, för att täcka deras spår och säkerställa att deras verksamhet förblev oupptäckt under längre perioder.
Pågående exploatering av Cisco-enheter
Utöver Salt Typhoons aktiviteter har Cisco också upptäckt utbredd inriktning på sina enheter med exponerade Smart Install (SMI) funktioner, vilket leder till fortsatt utnyttjande av CVE-2018-0171. Cisco klargjorde dock att denna aktivitet inte är kopplad till Salt Typhoon och inte verkar vara associerad med någon känd hotgrupp.
Hur organisationer kan försvara sig mot dessa attacker
Med tanke på den ihållande karaktären av Salt Typhoons verksamhet måste organisationer – särskilt de inom telekommunikationssektorn – vidta proaktiva åtgärder för att säkra sina nätverk. Rekommenderade defensiva åtgärder inkluderar:
- Inaktivera Smart Install (SMI): Om det inte krävs bör SMI stängas av för att minska risken för utnyttjande.
- Genomföra multifaktorautentisering (MFA): Stulna autentiseringsuppgifter är mindre effektiva om MFA krävs för autentisering.
Salt Typhoons framgångsrika infiltration av amerikanska telekomnätverk understryker vikten av vaksamhet inom cybersäkerhet. Deras förmåga att utnyttja en år gammal sårbarhet, stjäla referenser och fortsätta oupptäckt under längre perioder visar hur hotbilden utvecklas. Organisationer måste prioritera proaktiva försvarsstrategier, inklusive robust patchhantering, nätverksövervakning och strikta åtkomstkontroller, för att mildra riskerna med statligt sponsrade cyberhot.