O Federal Bureau of Investigation (FBI) alertou que hackers ligados ao Serviço Federal de Segurança da Rússia (FSB) estão mirando organizações de infraestrutura crítica em ataques que exploram uma vulnerabilidade de 7 anos em dispositivos Cisco.
O anúncio de serviço público do FBI indica que o grupo de hacking apoiado pelo estado, ligado à unidade Center 16 do FSB e acompanhado como Berserk Bear (também conhecido como Blue Kraken, Crouching Yeti, Dragonfly e Koala Team), vem mirando dispositivos de rede da Cisco usando exploits
CVE-2018-0171
para invadir organizações mundialmente.
A exploração bem-sucedida do
CVE-2018-0171
, uma vulnerabilidade crítica no recurso Smart Install do software Cisco IOS e Cisco IOS XE, pode permitir que atores de ameaças não autenticados disparem remotamente um reload em dispositivos não corrigidos, podendo resultar em uma condição de denial-of-service (DoS) ou permitindo que os atacantes executem código arbitrário no dispositivo alvo.
"No último ano, o FBI detectou os atores coletando arquivos de configuração de milhares de dispositivos de rede associados a entidades dos EUA em setores de infraestrutura crítica.
Em alguns dispositivos vulneráveis, os atores modificaram arquivos de configuração para habilitar o acesso não autorizado a esses dispositivos," disse o FBI.
Os atores usaram o acesso não autorizado para conduzir reconhecimento nas redes das vítimas, o que revelou seu interesse em protocolos e aplicações comumente associadas a sistemas de controle industrial.
O mesmo grupo de hackers anteriormente mirou as redes de organizações governamentais estaduais, locais, territoriais e tribais dos EUA (SLTT) e entidades de aviação ao longo da última década.
A Cisco, que detectou pela primeira vez ataques mirando a falha
CVE-2018-0171
em novembro de 2021, atualizou seu aviso na quarta-feira, instando os administradores a protegerem seus dispositivos contra ataques em andamento o mais rápido possível.
A Cisco Talos, divisão de cibersegurança da empresa, disse que o grupo de ameaças russo que acompanha como Static Tundra vem explorando agressivamente o
CVE-2018-0171
nesta campanha para comprometer dispositivos não corrigidos pertencentes a organizações de telecomunicações, ensino superior e manufatura através da América do Norte, Ásia, África e Europa.
Os atacantes também foram observados usando ferramentas SNMP personalizadas que permitem que eles mantenham persistência em dispositivos comprometidos e evitem detecção por anos, assim como o implante de firmware SYNful Knock, detectado pela primeira vez em 2015 pela FireEye.
"A ameaça se estende além das operações da Rússia — outros atores patrocinados pelo estado provavelmente estão conduzindo campanhas similares de comprometimento de dispositivos de rede, tornando a correção abrangente e o endurecimento de segurança críticos para todas as organizações," adicionou a Cisco Talos.
Os atores de ameaça continuarão a abusar de dispositivos que permanecem não corrigidos e com o Smart Install habilitado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...