思科確認 Salt Typhoon 利用 CVE-2018-0171 攻擊美國電信網絡

思科已正式確認，由中國政府支持的威脅行為者「Salt Typhoon」利用已知漏洞 CVE-2018-0171 成功入侵美國電信網路。此安全漏洞加上被盜登入憑證的使用，使得攻擊者能夠長期存取受感染的環境，其中一次甚至持續了三年多。

據思科 Talos 稱， Salt Typhoon 的行動表現出高度的複雜性、協調性和耐心——這是高級持續性威脅 (APT) 組織的共同特徵。這項行動凸顯了國家行為者透過策略性地滲透關鍵基礎設施以建立深厚而持久的立足點所帶來的持續風險。

長期、高度協調的網路間諜活動

鹽颱風能夠多年不被發現，凸顯了該組織先進的戰術。他們堅持使用多個供應商的設備，表明他們進行了精心的規劃並且資金充足。與利用漏洞獲取即時利益的機會主義網路犯罪分子不同，像 Salt Typhoon 這樣的受國家支持的行為者往往旨在實現持續訪問，從而收集情報、擾亂行動或為未來的網路攻擊做準備。

雖然先前的報告顯示 Salt Typhoon 也利用了較新的漏洞，例如 CVE-2023-20198 和 CVE-2023-20273，但思科尚未發現支持這些說法的證據。相反，主要的利用方法仍然是 CVE-2018-0171，這是思科智慧安裝 (SMI) 協定中的一個缺陷，與憑證盜竊相結合。

被盜憑證：初始存取的關鍵

這次活動的一個重要方面是使用有效的、被盜的憑證來存取網路設備。雖然 Salt Typhoon 用於獲取這些憑證的具體方法仍不清楚，但有證據表明，他們主動在受感染的系統中搜尋儲存的登入詳細資訊。他們還監控網路流量以捕獲身份驗證數據，特別是針對 SNMP、TACACS 和 RADIUS 協定來提取金鑰和其他登入憑證。

一旦進入網絡，Salt Typhoon 就會採用各種技術來擴大其影響範圍並確保長時間訪問。這些包括修改網路設備配置、建立未經授權的本機帳戶、啟用 Guest Shell 存取以及設定持久 SSH 存取。

土地自給科技與網路樞紐

Salt Typhoon 利用了「離地生活」（LOTL）技術，該技術涉及濫用合法的系統工具和基礎設施來避免被發現。透過使用受感染的網路設備作為樞紐點，他們能夠從一個電信網路跳到另一個電信網絡，同時保持隱藏。這些被感染的設備可能充當中間中繼，幫助攻擊者橫向移動到最終目標或建立出站資料外洩路線。

為了進一步逃避檢測，Salt Typhoon 透過改變受感染交換器上的環回介面位址來操縱網路配置。這使得他們能夠建立繞過存取控制清單 (ACL) 的 SSH 連接，從而允許在目標環境內不受限制的移動。

JumbledPath：用於秘密行動的客製化工具

最令人擔憂的發現之一是 Salt Typhoon 使用了一種名為 JumbledPath 的客製化工具，專門用於秘密網路滲透。這個基於 Go 的 ELF 二進位檔案使攻擊者能夠透過參與者控制的跳轉主機在遠端思科設備上執行封包擷取。該工具還可以清除系統日誌並完全停用日誌記錄，從而使取證分析變得更加困難。

定期的日誌刪除工作進一步降低了其活動的可見性。據觀察，Salt Typhoon 會刪除關鍵日誌，包括 .bash_history、auth.log、lastlog、wtmp 和 btmp，以掩蓋其蹤跡並確保其操作在較長時間內不被發現。

持續利用思科設備

除了 Salt Typhoon 的活動之外，思科還檢測到其設備受到廣泛攻擊，其中存在暴露的智慧安裝 (SMI) 功能，導致 CVE-2018-0171 被持續利用。不過，思科澄清說，這項活動與 Salt Typhoon 無關，而且似乎與任何已知威脅組織均無關聯。

組織如何防禦這些攻擊

鑑於鹽颱風行動的持續性，各組織（尤其是電信業的組織）必須採取主動措施來保護其網路。建議的防禦措施包括：

• 停用智慧型安裝（SMI）：如果不需要，應該關閉 SMI 以減輕被利用的風險。
• 強制執行多因素身份驗證 (MFA)：如果身份驗證需要 MFA，則被盜憑證的效果會降低。

Salt Typhoon 成功入侵美國電信網絡，凸顯了網路安全警戒的重要性。他們能夠利用存在多年的漏洞、竊取憑證並在很長一段時間內不被發現，這表明威脅情況正在不斷演變。組織必須優先考慮主動防禦策略，包括強大的修補程式管理、網路監控和嚴格的存取控制，以減輕國家支持的網路威脅所帶來的風險。