بنابر خبری که طی چند روز گذشته در رسانهها منتشر شده، ایالات متحده، بریتانیا و سیسکو نسبت به هکرهای APT28 تحت حمایت دولتی روسیه هشدار میدهند که بدافزار سفارشی به نام «دندان جگوار» را در روترهای سیسکو مجهز به سیستمعامل IOS مستقر کرده و اجازه دسترسی غیرقانونی به دستگاه را می دهند. در ادامه با جزئیات بیشتری از این انتشار بدافزار گسترده همراه ما باشید.
گروه هکری APT28 که با نامهای Fancy Bear، STRONTIUM، Sednit و Sofacy نیز شناخته میشود، یک گروه خرابکارانه تحت حمایت دولتی است که طبق ادعای رسانههای غربی با اداره اطلاعات اصلی ستاد کل روسیه (GRU) مرتبط است. این گروه هکری به طیف گستردهای از حملات علیه منافع اروپا و ایالات متحده نسبت داده شده و به سوء استفاده از آسیبپذیریهای روز صفر برای انجام جاسوسی سایبری معروف شده است.
گزارش مشترکی که هفته گذشته توسط مرکز امنیت ملی سایبری بریتانیا (NCSC)، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، NSA و FBI منتشر شده، جزئیاتی را نشان میدهد که چگونه هکرهای APT28 از یک نقص قدیمی SNMP در روترهای IOS سیسکو برای استقرار در روتر قربانی استفاده میکنند.
بدافزار سفارشی روترهای سیسکو IOS
Jaguar Tooth بدافزاری است که مستقیماً به حافظه روترهای سیسکو که نسخههای قدیمیتر سیستمافزار (فریمور) را اجرا میکنند، تزریق میشود. پس از نصب، بدافزار اطلاعات را از روتر استخراج میکند و دسترسی درب پشتی تأیید نشده به دستگاه را فراهم میکند.
بنابر اعلام NCSC بدافزار دندان جگوار در حال حاضر تنها روترهای Cisco مجهز به سیستمعامل IOS را هدف قرار میدهد که از نسخه فریمور C5350-ISM, Version 12.3(6) استفاده میکنند. NCSC در ادامه میگوید:
بدافزار دندان جگوار قابلیت جمع آوری اطلاعات دستگاه از طریق TFTP را داشته و دسترسی به درب پشتی تایید نشده را فعال می کند. این بدافزار عملیات خود را با تکیه بر آسیب پذیری SNMP که به شناسه CVE-2017-6742 به ثبت رسیده اجرا میکند. البته این آسیب پذیری در حال حاضر رفع شده ولی برای جلوگیری از دسترسی به آن نیاز است تا روترهای سیسکو بروز شوند.
برای نصب بدافزار، هکرها با استفاده از تکنیک اسکن جامع رشتههای SNMP با درجه امنیت ضعیف در استرینگهای عمومی SNMP میکنند. در توضیح این بخش باید بگوییم که رشتههای عمومی SNMP مانند اعتبارنامههایی هستند که به هر کسی که رشته پیکربندی شده را میشناسد اجازه میدهد تا دادههای SNMP را در یک دستگاه جستجو کند.
در این حالت اگر یک رشته عمومی SNMP معتبر کشف شود، هکر از آسیبپذیری CVE-2017-6742 SNMP، که در ژوئن 2017 برطرف شد، برای سوء استفاده و نیل به اهداف خود استفاده خواهد کرد. این آسیبپذیری یک نقص اجرای کد از راه دور تأیید نشده با کد سوءاستفاده عمومی است.
هنگامی که عوامل تهدید به روتر سیسکو دسترسی پیدا می کنند، حافظه آن را برای نصب بدافزار سفارشی و غیر دائمی Jaguar Tooth وصله می کنند. گزارش تحلیلی بدافزار NCSC در این خصوص توضیح میدهد:
این امکان دسترسی به حسابهای محلی موجود را بدون بررسی رمز عبور ارائه شده، هنگام اتصال از طریق Telnet یا جلسه فیزیکی فراهم میکند.
علاوه بر این، بدافزار مورد بحث فرآیند جدیدی به نام «Service Policy Lock» ایجاد میکند که خروجی را از دستورات Command Line Interface (CLI) زیر جمعآوری میکند و با استفاده از TFTP آن را استخراج میکند:
- show running-config
- show version
- show ip interface brief
- show arp
- show cdp neighbors
- show start
- show ip route
- show flash
در همین خصوص کلیه مدیران سیستمهای مبتنی بر روترهای سیسکو باید روترهای خود را به آخرین نسخه سیستم عامل رسمی ارائه شده توسط شرکت ارتقا دهند تا خطر این حملات را کاهش دهند.
سیسکو همچنین به دلیل امنیت و عملکرد قویتر، تغییر از SNMP به NETCONF/RESTCONF در روترهای عمومی را برای مدیریت از راه دور توصیه می کند. البته برای نیازهای تخصصیتر بهتر است راهنمایی که توسط شرکت تدارک داده شده را با مراجعه به وبسایت رسمی سیسکو مطالعه کنید.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت