美英警告：俄黑客组织在 Cisco 路由器部署恶意软件

近日，美国、英国和思科警告由俄罗斯政府资助的 APT28 黑客在 Cisco IOS 路由器上部署名为“Jaguar Tooth”的自定义恶意软件，允许未经身份验证的设备访问。

APT28，也称为 Fancy Bear、STRONTIUM、Sednit 和 Sofacy，是一个与俄罗斯总参谋部情报总局 (GRU) 有联系的国家资助的黑客组织。这个黑客组织由于对欧洲和美国利益的广泛攻击，并且以滥用零日漏洞进行网络间谍活动而闻名。

在英国国家网络安全中心 (NCSC)、美国网络安全和基础设施安全局 (CISA)、美国国家安全局和联邦调查局发布的一份联合报告详细介绍了 APT28 黑客如何利用Cisco IOS路由器上的旧SNMP 漏洞部署名为“Jaguar Tooth”的自定义恶意软件。

自定义 Cisco IOS 路由器恶意软件

Jaguar Tooth 是一种恶意软件，直接注入到运行较旧固件版本的 Cisco 路由器的内存中。安装后，恶意软件会从路由器中泄露信息，并提供对设备的未经身份验证的后门访问。

NCSC公告警告说：“Jaguar Tooth是一种非持久性恶意软件，其目标是运行固件的 Cisco IOS 路由器：C5350-ISM，版本 12.3(6)。它包括收集设备信息的功能，通过 TFTP 泄露这些信息，并启用未经身份验证的后门访问。据观察，它是通过利用已修补的 SNMP 漏洞 CVE-2017-6742 进行部署和执行的。”

为了安装恶意软件，威胁参与者使用弱 SNMP 社区字符串（例如常用的“公共”字符串）扫描公共 Cisco 路由器。SNMP 社区字符串就像凭据，允许知道配置字符串的任何人查询设备上的 SNMP 数据。

如果发现有效的 SNMP 社区字符串，威胁参与者就会利用2017年6月修复的CVE-2017-6742 SNMP 漏洞。此漏洞是一个未经身份验证的远程代码执行漏洞，具有公开可用的利用代码。

一旦攻击者访问Cisco路由器，他们就会修补其内存以安装自定义的非持久性Jaguar Tooth恶意软件。

NCSC 恶意软件分析报告解释说：“当通过Telnet或物理会话连接时，这将授予对现有本地帐户的访问权限，而无需检查提供的密码。”

此外，该恶意软件创建了一个名为“Service Policy Lock”的新进程，该进程收集以下命令行界面(CLI)命令的输出并使用TFTP将其泄露：

显示运行配置

显示版本

显示 ip 界面简介

显示arp

显示 cdp 邻居

演出开始

显示 ip 路由

显示闪光

所有思科管理员都应该将他们的路由器升级到最新的固件以减轻这些攻击。

Cisco建议在公共路由器上从 SNMP切换到 NETCONF/RESTCONF 以进行远程管理，因为它提供更强大的安全性和功能。

如果需SNMP，管理员应配置允许和拒绝列表以限制谁可以访问公开路由器上的SNMP 接口，并且社区字符串应更改为足够强的随机字符串。

CISA 还建议在 Cisco 路由器上禁用 SNMP v2 或 Telnet，因为这些协议可能允许从未加密的流量中窃取凭据。

最后，如果怀疑某台设备遭到入侵，CISA 建议使用 Cisco 的建议来验证 IOS 映像的完整性，撤销与该设备关联的所有密钥，不要重复使用旧密钥，并使用直接来自 Cisco 的映像替换映像。

目标的转变

公告强调了国家资助的威胁行为者为网络设备创建自定义恶意软件以进行网络间谍和监视的趋势。

由于边缘网络设备不支持端点检测和响应 (EDR) 解决方案，因此它们正成为威胁参与者的热门目标。

此外，由于它们位于边缘，几乎所有企业网络流量都流经它们，因此它们是监视网络流量和收集凭据以进一步访问网络的有吸引力的目标。