思科确认 Salt Typhoon 利用 CVE-2018-0171 攻击美国电信网络

思科已正式确认，受中国政府支持的威胁行为者 Salt Typhoon 利用已知漏洞 CVE-2018-0171 成功入侵美国电信网络。此安全漏洞与被盗登录凭据的使用相结合，使攻击者能够长期访问受感染的环境，其中一次甚至持续了三年多。

据思科 Talos 称， Salt Typhoon 的行动表现出高度的复杂性、协调性和耐心——这是高级持续性威胁 (APT) 团体的共同特征。该活动凸显了国家行为者战略性地渗透关键基础设施以建立深厚而持久的立足点所带来的持续风险。

长期、高度协调的网络间谍活动

Salt Typhoon多年来一直隐匿不被发现，这凸显了该组织的先进战术。他们在多家供应商的设备上持续存在表明他们计划周密，行动资金充足。与利用漏洞获取即时利益的机会主义网络犯罪分子不同，像 Salt Typhoon 这样受国家支持的组织往往以持续访问为目标，以便收集情报、破坏行动或为未来的网络攻击做准备。

虽然之前的报告表明 Salt Typhoon 还利用了较新的漏洞，例如 CVE-2023-20198 和 CVE-2023-20273，但思科没有发现任何证据支持这些说法。相反，主要的利用方法仍然是 CVE-2018-0171，即思科智能安装 (SMI) 协议中的一个缺陷，再加上凭证盗窃。

被盗凭证：初始访问的关键

此次攻击活动的一个重要方面是使用有效的、被盗的凭证来访问网络设备。虽然 Salt Typhoon 获取这些凭证的具体方法尚不清楚，但有证据表明，他们积极搜索受感染系统中存储的登录详细信息。他们还监控网络流量以捕获身份验证数据，特别是针对 SNMP、TACACS 和 RADIUS 协议来提取密钥和其他登录凭证。

一旦进入网络，Salt Typhoon 就会使用各种技术来扩大其影响范围并确保长时间访问。这些技术包括修改网络设备配置、创建未经授权的本地帐户、启用 Guest Shell 访问以及设置持久 SSH 访问。

土地自给技术和网络枢纽

Salt Typhoon 利用了“离地攻击” (LOTL) 技术，该技术涉及滥用合法的系统工具和基础设施来避免被发现。通过使用受感染的网络设备作为枢纽点，他们能够从一个电信网络跳转到另一个电信网络，同时保持隐蔽。这些受感染的设备可能充当中间中继，帮助攻击者横向移动到最终目标或建立出站数据泄露路线。

为了进一步逃避检测，Salt Typhoon 通过修改受感染交换机上的环回接口地址来操纵网络配置。这让他们能够建立绕过访问控制列表 (ACL) 的 SSH 连接，从而在目标环境中不受限制地移动。

JumbledPath：用于秘密行动的定制工具

最令人担忧的发现之一是 Salt Typhoon 使用了一种名为 JumbledPath 的定制工具，该工具专门用于隐秘的网络渗透。这种基于 Go 的 ELF 二进制文件使攻击者能够通过参与者控制的跳转主机在远程 Cisco 设备上执行数据包捕获。该工具还可以清除系统日志并完全禁用日志记录，从而使取证分析变得更加困难。

定期删除日志进一步降低了其活动的可见性。据观察，Salt Typhoon 会删除关键日志，包括 .bash_history、auth.log、lastlog、wtmp 和 btmp，以掩盖其踪迹并确保其操作在较长时间内不被发现。

持续利用思科设备

除了 Salt Typhoon 的活动之外，思科还发现其设备被广泛利用，这些设备都带有暴露的智能安装 (SMI) 功能，导致 CVE-2018-0171 继续受到利用。不过，思科澄清说，此活动与 Salt Typhoon 无关，似乎与任何已知威胁组织均无关联。

组织如何防御这些攻击

鉴于 Salt Typhoon 攻击的持续性，各组织（尤其是电信行业的组织）必须采取主动措施来保护其网络。建议的防御措施包括：

• 禁用智能安装（SMI）：如果不需要，应该关闭 SMI 以减轻被利用的风险。
• 强制执行多因素身份验证 (MFA)：如果身份验证需要 MFA，则被盗凭证的效果会降低。

Salt Typhoon 成功入侵美国电信网络，凸显了网络安全警惕性的重要性。他们能够利用多年前的漏洞、窃取凭证并长期不被发现，这表明威胁形势正在不断演变。组织必须优先考虑主动防御策略，包括强大的补丁管理、网络监控和严格的访问控制，以减轻国家支持的网络威胁带来的风险。