Russisk cybergruppe udnytter gammel Cisco-sårbarhed

FBI og Cisco Talos advarer i en fælles advarsel om målrettede angreb mod udtjente netværksenheder i kritisk infrastruktur. Det skriver The Record. 

I advarslen fremgår det, at det russiske sikkerhedstjeneste FSB’s Center 16 udnytter en sårbarhed i netværksenheder, der har nået end-of-life-status, til at kompromittere organisationer inden for telekommunikation, videregående uddannelse og fremstillingssektoren i Nordamerika, Asien, Afrika og Europa.

En klassiker, der aldrig vil dø 

Gruppen bag angrebene er en russisk statsstøttet cybergruppe, kendt som Static Tundra, der angiveligt har intensiveret sine angreb mod udtjente Cisco-netværksenheder. Det sker ved at udnytte sårbarheden, som blev identificeret helt tilbage i 2018. Ifølge en fælles advarsel fra FBI og Cisco Talos udnyttes sårbarheden CVE-2018-0171 i Smart Install-funktionen på Cisco IOS og IOS XE-software, som ofte forbliver upatchet efter enhederne er nået end-of-life. Som vi har hørt så mange gange før.

Sårbarheden blev registreret i CISAs liste over kendte udnyttede sårbarheder i 2021. Ifølge EU's sårbarhedsdatabase er EPSS-score på 90,99 pct. Det vil sige, at der næsten er sikkerhed for, at sårbarheden bliver udnyttet, hvis man har udtjente CISCO-netværksenheder i sin portefølje. CVSS-scoren er da også høj: 9,8.

Strategisk målrettede kompromitteringer

Static Tundra er ifølge The Record også kendt som Berserk Bear eller Dragonfly. Gruppen skal i årevis have kompromitteret netværksenheder i sektorer som telekommunikation, videregående uddannelse og produktion på tværs af Nordamerika, Asien, Afrika og Europa. Ifølge Cisco Talos udvælges ofrene ud fra deres strategiske betydning for den russiske stat, og Ukraine er blandt de mest påvirkede lande. Operationerne mod ukrainske organisationer skal være eskaleret ved starten af krigen og har været ved siden.

SYNful Knock og scanning efter ofre

Gruppen har også demonstreret, at den har evnen til at opretholde vedvarende adgang til kompromitterede netværk i flere år uden at blive opdaget. FBI rapporterer, at Static Tundra har indsamlet konfigurationsfiler fra tusindvis af netværksenheder tilhørende amerikanske organisationer i kritisk infrastruktur. Disse filer bruges til at opnå yderligere adgang og udføre rekognoscering, ofte rettet mod industrielle kontrolsystemer.

Static Tundra benytter specialudviklede værktøjer, herunder malware-varianten SYNful Knock, som Cisco Talos nu har frigivet et script til at detektere. Gruppen anvender også tjenester som Shodan og Censys til at identificere sårbare enheder. Der er altså tale en professionel gruppe, der har en klar mission og vælger sine ofre derud fra.

Og selv om man ikke har sin tilstedeværelse i Ukraine, så er det ikke garanti for, at man ikke bliver udsat for forsøg på kompromitteringer.

Men en EPSS-score på over 90 pct. handler det om at få afviklet sin udtjente CISCO netværkshed så hurtigt som muligt.