圖片來源: 

CISA

英國國家網路安全中心(NCSC)、美國國安局(NSA)、美國網路安全暨基礎設施安全局(CISA),以及美國聯邦調查局(FBI)本周共同揭露了駭客組織APT28於2021年針對思科路由器的攻擊行動

上述國家安全機構幾乎已確認APT28隸屬於俄羅斯情報局(GRU),該駭客組織曾在2015年攻擊德國議會,在2018年企圖攻擊禁止化學武器組織(OPCW),而在2021年時,APT28則利用商用的程式碼儲存庫及諸如Empire等後脅迫框架,並於思科路由器上部署Jaguar Tooth惡意程式。

根據調查,APT28鎖定了思科於2017年修補的CVE-2017-6742漏洞展開攻擊,該漏洞存在於簡單網路管理協定(Simple Network Management Protocol,SNMP)上,這是Cisco IOS及IOS XE軟體的子系統,允許網路管理員自遠端監控與配置網路裝置,該漏洞可讓駭客自遠端執行任意程式,成功的攻擊還能滲透路由器所在的網路。

NCSC指出,APT28在2021年時利用基礎設施來假冒SNMP,以存取部署於全球的思科路由器,有少數的路由器位於歐洲及美國的政府組織中,還有大約250臺受駭路由器位於烏克蘭。

由於有不少工具都能掃描全球網路上採用SNMP的裝置,因此倘若這些裝置依然使用預設或容易猜測的社群字串(SNMP community strings),那麼便很容易遭到入侵,方便APT28取得路由器資訊,受駭的路由器都接受SNMP v2請求,此一版本的SNMP並不支援加密,因此所有送出的資料,包括社群字串在內,也都沒有加密。

此外,調查顯示APT28在部分受害裝置上部署了Jaguar Tooth惡意程式,此一惡意程式可蒐集更多的裝置資訊,還啟用了後門存取機制。

思科也在同一天發布了聲明,指出該公司不斷鼓勵使用者要限制SNMP或任何管理介面的存取能力,要避免裝置管理介面或服務遭到攻擊的最佳作法,就是僅允許可靠的管理員與IP位址存取,也提醒雖然SNMP的簡單易用讓它依然受到許多舊時代網路裝置的青睞,但NETCONF與RESTCONF協定的安全能力才更適合現代的網路管理。

熱門新聞

Advertisement