Los actores de amenazas patrocinados por el estado ruso han creado malware personalizado y lo están utilizando contra enrutadores Cisco IOS antiguos y sin parches. (se abre en una pestaña nueva)ha advertido un informe conjunto de Estados Unidos y el Reino Unido.
El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI) publicaron un informe (se abre en una pestaña nueva) en el que afirman que APT28, un grupo supuestamente afiliado a la Dirección Principal de Inteligencia (GRU) del Estado Mayor General de Rusia, desarrolló un malware personalizado llamado “Jaguar Tooth”.
Este malware es capaz de robar datos confidenciales que pasan a través del enrutador y permite a los actores de amenazas acceso de puerta trasera no autenticado al dispositivo.
Robo de datos
Los atacantes primero buscarían enrutadores públicos de Cisco utilizando cadenas de comunidad SNMP débiles, como la cadena «pública» de uso común, informa BleepingComputer. Según la publicación, las cadenas comunitarias de SNMP son como «credenciales que permiten que cualquier persona que conozca la cadena configurada consulte los datos de SNMP en un dispositivo».
Si encuentran una cadena de comunidad SNMP válida, los atacantes buscarán explotar CVE-2017-6742, una vulnerabilidad de seis años que permite la ejecución remota de código. Eso les permite instalar el malware Jaguar Tooth directamente en la memoria de los enrutadores Cisco.
«Jaguar Tooth es un malware no persistente que se dirige a los enrutadores Cisco IOS que ejecutan firmware: C5350-ISM, versión 12.3 (6)», se lee en el aviso. «Incluye funcionalidad para recopilar información del dispositivo, que filtra a través de TFTP, y permite el acceso de puerta trasera no autenticado. Se ha observado que se implementa y ejecuta mediante la explotación de la vulnerabilidad SNMP parcheada CVE-2017-6742».
Luego, el malware creará un nuevo proceso llamado «Bloqueo de política de servicio» que recopila todos los resultados de estos comandos de la interfaz de línea de comandos y los recolecta mediante TFTP:
- Mostrar configuración en ejecución
- mostrar versión
- muestre el resumen de la interfaz IP
- mostrar arp
- mostrar vecinos cdp
- mostrar inicio
- mostrar ruta ip
- mostrar flash
Para solucionar el problema, los administradores deben actualizar el firmware de sus enrutadores Cisco de inmediato. Además, pueden cambiar de SNMP a NETCONF/RESTCONF en enrutadores públicos. Si no pueden cambiar de SNMP, deben configurar listas de permitidos y denegados para limitar quién puede acceder a la interfaz SNMP en enrutadores conectados a Internet. Además, la cadena comunitaria debe cambiarse a algo más fuerte.
El aviso también dice que los administradores deben deshabilitar SNMP v2 o Telnet.
A través de: BleepingEquipo (se abre en una pestaña nueva)