Los enrutadores de Cisco son el objetivo del malware ruso personalizado

Los actores de amenazas patrocinados por el estado ruso han creado malware personalizado y lo están utilizando contra enrutadores Cisco IOS antiguos y sin parches (se abre en una nueva pestaña), advierte un informe conjunto de EE. UU. Y el Reino Unido.

El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI) publicaron un informe (se abre en una nueva pestaña) en que afirman que APT28, un grupo supuestamente afiliado a la Dirección Principal de Inteligencia del Estado Mayor de Rusia (GRU), ha desarrollado un malware personalizado con el nombre en código "Jaguar Tooth".

Este malware es capaz de robar datos confidenciales que pasan a través del enrutador y permite que los actores de amenazas obtengan acceso de puerta trasera no autenticado al dispositivo.

Robo de datos

Los atacantes escanearían primero los enrutadores públicos de Cisco utilizando cadenas de comunidad SNMP débiles, como la cadena "pública" de uso común, informa BleepingComputer. Según la publicación, las cadenas comunitarias de SNMP son como "credenciales que permiten que cualquier persona que conozca la cadena configurada consulte los datos de SNMP en un dispositivo".

Si encuentran una cadena de comunidad SNMP válida, los atacantes buscarán explotar CVE-2017-6742, una vulnerabilidad de seis años que permite la ejecución remota de código. Esto les permite instalar el malware Jaguar Tooth directamente en la memoria de los enrutadores Cisco.

“Jaguar Tooth es un malware no persistente que se dirige a los enrutadores Cisco IOS que ejecutan firmware: C5350-ISM, versión 12.3 (6)”, se lee en el aviso. "Incluye funcionalidad para recopilar información del dispositivo, que extrae a través de TFTP, y permite el acceso de puerta trasera no autenticado. Se ha observado que se implementa y ejecuta mediante la explotación de la vulnerabilidad SNMP reparada CVE-2017-6742".

Luego, el malware creará un nuevo proceso llamado "Bloqueo de política de servicio" que recopila todos los resultados de estos comandos CLI y los recolecta mediante TFTP:

  • mostrar la configuración en ejecución
  • mostrar versión
  • presentación de la interfaz show ip
  • mostrar arp
  • mostrar vecinos cdp
  • mostrar inicio
  • mostrar ruta IP
  • mostrar flash

Para resolver el problema, los administradores deben actualizar inmediatamente el firmware de sus enrutadores Cisco. Además, pueden cambiar de SNMP a NETCONF/RESTCONF en enrutadores públicos. Si no pueden pasar SNMP, deben configurar listas de permitidos y denegados para limitar quién puede acceder a la interfaz SNMP en los enrutadores conectados a Internet. Además, la cadena comunitaria debe reemplazarse con algo más fuerte.

El aviso también establece que los administradores deben deshabilitar SNMP v2 o Telnet.

Vía: BleepingComputer (se abre en una nueva pestaña)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir