Κυβερνητικές υπηρεσίες στις Ηνωμένες Πολιτείες και το Ηνωμένο Βασίλειο εξέδωσαν κοινή συμβουλευτική για την ασφάλεια στον κυβερνοχώρο για να προειδοποιήσουν τους οργανισμούς σχετικά με επιθέσεις στις οποίες μια ρωσική ομάδα απειλών εκμεταλλεύτηκε μια παλιά ευπάθεια για να χακάρει τους δρομολογητές της Cisco.
Ο εν λόγω παράγοντας απειλής είναι το APT28 (γνωστός και ως Fancy Bear, Strontium, Pawn Storm, Sednit Gang και Sofacy), το οποίο έχει επισήμως συνδεθεί από τις ΗΠΑ και το Ηνωμένο Βασίλειο με μια ρωσική στρατιωτική μονάδα πληροφοριών.
Οι επιθέσεις APT28 που περιγράφονται λεπτομερώς αυτή την εβδομάδα στόχευαν δρομολογητές Cisco στις Ηνωμένες Πολιτείες, την Ουκρανία και άλλες ευρωπαϊκές χώρες το 2021. Ωστόσο, οι εκμεταλλευόμενες ευπάθειες εξακολουθούν να αποτελούν σημαντικό κίνδυνο, με τη Cisco να λέει ότι «ανησυχεί βαθύτατα από την αύξηση του ποσοστού υψηλού επιθέσεις πολυπλοκότητας σε υποδομές δικτύου».
Μια συμβουλευτική που κυκλοφόρησε την Τρίτη από το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC), την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA), το FBI και η NSA επικεντρώνεται στην εκμετάλλευση του CVE-2017-6742. Η Cisco ενημέρωσε τους πελάτες για αυτήν και άλλες παρόμοιες ευπάθειες το 2017, όταν διέθεσε ενημερώσεις κώδικα και μετριασμούς.
Η Cisco έχει προειδοποιήσει τους πελάτες σχετικά με την εκμετάλλευση από το 2018, αλλά η εταιρεία ενημέρωσε την αρχική της συμβουλή αυτή την εβδομάδα για να διευκρινίσει ότι το CVE-2017-6742 και επτά άλλες ευπάθειες επιδιορθώθηκαν το 2017 έχουν πάλι αξιοποιηθεί.
Τα ελαττώματα επηρεάζουν το υποσύστημα Simple Network Management Protocol (SNMP) του λογισμικού Cisco IOS και IOS XE και επιτρέπουν σε έναν απομακρυσμένο, πιστοποιημένο εισβολέα να εκτελεί αυθαίρετο κώδικα στη στοχευμένη συσκευή στέλνοντας ειδικά δημιουργημένα πακέτα SNMP.
Το SNMP επιτρέπει στους διαχειριστές δικτύου να παρακολουθούν και να διαμορφώνουν εξ αποστάσεως συσκευές, αλλά μπορεί επίσης να γίνει κατάχρηση από χάκερ, ιδιαίτερα εάν χρησιμοποιούνται προεπιλεγμένες ή εύκολα εικασμένες συμβολοσειρές κοινότητας SNMP.
Σύμφωνα με τα πρακτορεία των ΗΠΑ και του Ηνωμένου Βασιλείου, σε ορισμένες από τις επιθέσεις που στόχευαν σε μη επιδιορθωμένους δρομολογητές Cisco, το APT28 χρησιμοποίησε εκμεταλλεύσεις SNMP για να αναπτύξει κακόβουλο λογισμικό που επέτρεπε στους εισβολείς να αποκτήσουν πρόσθετες πληροφορίες συσκευής και να ενεργοποιήσουν την πρόσβαση στην κερκόπορτα στο σύστημα.