Cisco

米国、英国、および Cisco は、ロシア政府が支援する APT28 ハッカーが「Jaguar Tooth」という名前のカスタム マルウェアを Cisco IOS ルータに展開し、デバイスへの認証されていないアクセスを許可していると警告しています。

Fancy Bear、STRONTIUM、Sednit、Sofacy とも呼ばれる APT28 は、ロシアの General Staff Main Intelligence Directorate (GRU) に関連する国家支援のハッキング グループです。このハッキング グループは、ヨーロッパと米国の利益に対する幅広い攻撃に関与しており、サイバー スパイ活動を行うためにゼロデイ エクスプロイトを悪用することで知られています。

英国国立サイバー セキュリティ センター (NCSC)、米国サイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA)、NSA、および FBI によって本日発表された共同レポートでは、APT28 ハッカーが Cisco IOS ルーターの古い SNMP の欠陥を悪用して展開する方法が詳しく説明されています。 「Jaguar Tooth」という名前のカスタム マルウェア。

カスタム Cisco IOS ルータ マルウェア

Jaguar Tooth は、古いファームウェア バージョンを実行している Cisco ルータのメモリに直接挿入されるマルウェアです。インストールされると、マルウェアはルーターから情報を盗み出し、認証されていないバックドア アクセスをデバイスに提供します。

「Jaguar Tooth は、ファームウェア C5350-ISM、バージョン 12.3(6) を実行している Cisco IOS ルータを標的とする持続性のないマルウェアです」と NCSC アドバイザリは警告しています。

「これには、デバイス情報を収集する機能が含まれており、TFTP 経由で盗み出し、認証されていないバックドア アクセスを可能にします。パッチが適用された SNMP 脆弱性 CVE-2017-6742 を悪用して展開および実行されることが確認されています。」

マルウェアをインストールするために、攻撃者は、一般的に使用される「パブリック」文字列などの弱い SNMP コミュニティ ストリングを使用して、公共の Cisco ルーターをスキャンします。 SNMP コミュニティ ストリングは、構成されたストリングを知っている人なら誰でもデバイス上の SNMP データをクエリできる資格情報のようなものです。

有効な SNMP コミュニティ ストリングが発見されると、攻撃者は2017 年 6 月に修正されたCVE-2017-6742 SNMP の脆弱性を悪用します。この脆弱性は、公開されているエクスプロイト コードによる、認証されていないリモート コード実行の欠陥です。

脅威アクターが Cisco ルーターにアクセスすると、そのメモリにパッチを適用して、カスタムの非永続的な Jaguar Tooth マルウェアをインストールします。

「これにより、Telnet または物理セッション経由で接続するときに、提供されたパスワードを確認せずに既存のローカル アカウントへのアクセスが許可されます」とNCSC マルウェア分析レポートは説明しています。

さらに、このマルウェアは「サービス ポリシー ロック」という名前の新しいプロセスを作成します。このプロセスは、次のコマンド ライン インターフェース (CLI) コマンドからの出力を収集し、TFTP を使用して抽出します。

  • 実行中の構成を表示
  • バージョンを表示
  • ip インターフェイスの概要を表示
  • arp を表示
  • CDP ネイバーを表示
  • ショースタート
  • ip ルートを表示
  • フラッシュを表示

すべてのシスコ管理者は、ルータを最新のファームウェアにアップグレードして、これらの攻撃を緩和する必要があります。

シスコでは、より堅牢なセキュリティと機能を提供するため、リモート管理用のパブリック ルータで SNMP から NETCONF/RESTCONF に切り替えることも推奨しています

SNMP が必要な場合、管理者は許可リストと拒否リストを構成して、公開されているルーターの SNMP インターフェイスにアクセスできるユーザーを制限し、コミュニティ ストリングを十分に強力なランダム ストリングに変更する必要があります。

CISA は、Cisco ルーターで SNMP v2 または Telnet を無効にすることも推奨しています。これらのプロトコルでは、暗号化されていないトラフィックから資格情報が盗まれる可能性があるためです。

最後に、デバイスが侵害された疑いがある場合、CISA は Cisco のアドバイスに従って、IOS イメージの整合性を検証し、デバイスに関連付けられたすべてのキーを取り消し、古いキーを再利用せず、イメージを Cisco から直接提供されたものに置き換えることを推奨しています。

ターゲットのシフト

本日のアドバイザリは、国家が支援する攻撃者の間で、ネットワーク デバイス用のカスタム マルウェアを作成してサイバー スパイ活動や監視を行う傾向が強まっていることを浮き彫りにしています。

3 月、Fortinet と Mandiant は、 中国のハッカーが政府機関に対する一連の攻撃でカスタム マルウェアを使用して脆弱な Fortinet デバイスを標的にしていたことを明らかにしました。

また 3 月には、 露出した SonicWall デバイスにカスタム マルウェアをインストールする中国のハッキング キャンペーンの疑いについて、Mandiant が報告しました。

エッジ ネットワーク デバイスはエンドポイントの検出と対応 (EDR) ソリューションをサポートしていないため、脅威アクターの一般的な標的になりつつあります。

さらに、ほとんどすべての企業ネットワーク トラフィックが流れるエッジに置かれているため、ネットワーク トラフィックを監視し、ネットワークにさらにアクセスするための資格情報を収集するための魅力的なターゲットです。