هشدار FBI: هکرهای روسی در حال سوءاستفاده از آسیبپذیری ۷ ساله در Cisco هستند
هشدار FBI درباره سوءاستفاده هکرهای وابسته به FSB روسیه از آسیبپذیری ۷ ساله در تجهیزات Cisco
اداره تحقیقات فدرال آمریکا (FBI) هشدار داد که هکرهای منتسب به سازمان امنیت فدرال روسیه (FSB) در حال هدف قرار دادن سازمانهای فعال در زیرساختهای حیاتی از طریق حملاتی هستند که بر پایه یک آسیبپذیری هفتساله در تجهیزات Cisco صورت میگیرد.
طبق اطلاعیه عمومی FBI، این گروه هکری دولتی که به واحد Center 16 در FSB مرتبط بوده و با نامهای Berserk Bear (همچنین شناختهشده با اسامی Blue Kraken، Crouching Yeti، Dragonfly و Koala Team) ردیابی میشود، با بهرهبرداری از آسیبپذیری CVE-2018-0171 اقدام به هدف قرار دادن تجهیزات شبکهای Cisco برای نفوذ به سازمانهای مختلف در سراسر جهان کرده است.
آسیبپذیری CVE-2018-0171 یک ضعف بحرانی در قابلیت Smart Install در نرمافزارهای Cisco IOS و Cisco IOS XE است که بهرهبرداری موفق از آن میتواند به مهاجمان غیرمجاز امکان دهد دستگاههای وصلهنشده را از راه دور ریستارت کرده و موجب ایجاد وضعیت Denial-of-Service (DoS) شوند یا حتی کد دلخواه را بر روی دستگاه قربانی اجرا کنند.
FBI اعلام کرد:
«در سال گذشته، این بازیگران مخرب اقدام به جمعآوری فایلهای پیکربندی هزاران دستگاه شبکهای متعلق به نهادهای آمریکایی در بخشهای زیرساخت حیاتی کردهاند. در برخی از این دستگاههای آسیبپذیر، فایلهای پیکربندی برای ایجاد دسترسی غیرمجاز تغییر یافته است.»
این نهاد افزود:
«مهاجمان از این دسترسی غیرمجاز برای انجام عملیات reconnaissance در شبکه قربانیان استفاده کردهاند که نشاندهنده علاقه آنها به پروتکلها و اپلیکیشنهای مرتبط با Industrial Control Systems (ICS) است.»
این گروه هکری در دهه گذشته همچنین شبکههای سازمانهای ایالتی، محلی، سرزمینی و قبیلهای (SLTT) در ایالات متحده و همچنین نهادهای فعال در صنعت هوانوردی را هدف قرار داده است.
Cisco: ضرورت وصله فوری
شرکت Cisco که نخستینبار در نوامبر ۲۰۲۱ حملات مرتبط با آسیبپذیری CVE-2018-0171 را شناسایی کرده بود، روز چهارشنبه هشدار خود را بهروزرسانی کرده و از مدیران شبکه خواست در اسرع وقت دستگاههای خود را در برابر این حملات ایمنسازی کنند.
طبق گزارش Cisco Talos، بخش امنیت سایبری این شرکت، گروه تهدید روسی که با نام Static Tundra ردیابی میشود، بهطور گسترده در این کارزار از آسیبپذیری CVE-2018-0171 برای نفوذ به دستگاههای وصلهنشده در سازمانهای حوزه مخابرات، آموزش عالی و تولید در آمریکای شمالی، آسیا، آفریقا و اروپا استفاده کرده است.
مهاجمان همچنین از ابزارهای سفارشی SNMP برای حفظ دسترسی پایدار بر روی دستگاههای آلوده و دور زدن شناسایی برای مدت چندین سال بهره بردهاند. افزون بر این، آنها از بدافزار SYNful Knock firmware implant که نخستینبار در سال ۲۰۱۵ توسط FireEye کشف شد نیز استفاده کردهاند.
Cisco Talos هشدار داد:
«این تهدید فراتر از عملیات روسیه است — احتمالاً سایر بازیگران تحت حمایت دولتها نیز کارزارهای مشابهی برای نفوذ به تجهیزات شبکه در حال اجرا دارند. به همین دلیل، وصلهگذاری جامع و مقاومسازی امنیتی برای تمامی سازمانها حیاتی است.»
این واحد امنیتی افزود:
«تهدیدکنندگان همچنان از دستگاههایی که وصلهنشده باقی مانده و قابلیت Smart Install در آنها فعال است سوءاستفاده خواهند کرد.»
