قامت وكالات الأمن السيبراني المتحالفة بتفصيل استغلال أجهزة التوجيه الضعيفة عبر SNMP وCisco Smart Install بواسطة مركز FSB الروسي 16.
تم تأليف الاستشارة المشتركة للأمن السيبراني من قبل وكالة الأمن القومي، وCISA، ومكتب التحقيقات الفيدرالي، ومركز الجرائم الإلكترونية التابع لوزارة الدفاع، من قبل مراكز في أستراليا، وكندا، ونيوزيلندا، والمملكة المتحدة، وجمهورية التشيك، والدنمارك، وإستونيا، وفنلندا، وفرنسا، وإيطاليا، وبولندا، والسويد.
تربط الوكالات أكثر من عشر سنوات من هذا النشاط بأسماء صناعية بما في ذلك Berserk Bear، وEnergetic Bear، وCrouching Yeti، وDragonfly، وGhost Blizzard، وStatic Tundra، مع الإشارة إلى أن العلامات العامة لا تتطابق دائمًا مع المسارات التحليلية الخاصة بها واحدًا لواحد.
يقوم ممثلو FSB Center 16 بفحص نطاقات IP التي تواجه الإنترنت بحثًا عن الأجهزة التي لا تزال تقبل سلاسل مجتمع SNMP الشائعة أو الافتراضية. مجموعة Proxy SNMP – تطلب عناوين المصدر المزيفة وتوجه الوكلاء الذين تمت إدارتهم بشكل سيء لتفريغ التكوين قيد التشغيل في ملفات تسمى عادةً config.bkp أوoutput.txt. يتم بعد ذلك نقل هذه الملفات عبر TFTP إلى خوادم افتراضية خاصة مستأجرة أو مضيفي FTP الذين تم اختراقهم مسبقًا تحت سيطرة الممثل.
يستغل الممثلون أيضًا Cisco Smart Install حيث يظل ممكّنًا، وأحيانًا يستخدمون العيوب المعروفة كسلاح بما في ذلك CVE-2018-0171 وCVE-2008-4128 الذي انتهى عمره الافتراضي فقط. تحظى واجهات إدارة الويب على الأجهزة المتطورة باهتمام ثانوي. تتداخل العديد من تقنيات التجميع والترشيح المرصودة مع الأنماط التي شوهدت من مشغلين آخرين مثل Salt Typhoon، وبالتالي فإن عمليات التخفيف المنشورة تنطبق على نطاق أوسع من النشاط الروسي وحده.
وتشمل القطاعات ذات الأولوية التي أدرجتها الوكالات الاتصالات، والقاعدة الصناعية الدفاعية، والطاقة، والخدمات المالية، والخدمات والمرافق الحكومية على مستوى الولاية والمستوى المحلي، والرعاية الصحية والصحة العامة.
علق بول أسادوريان، الباحث الأمني الرئيسي في Eclypsium، قائلاً: “تعد نصيحة CISA بمثابة تذكير آخر بأن المهاجمين قد فهموا منذ فترة طويلة أن أسهل طريق هو من خلال أدوات التحكم في أجهزة الأجهزة التي لا تخضع للمراقبة الكافية على حافة الشبكة.
“أصبحت البنية التحتية التي نعتمد عليها يوميًا هدفًا رئيسيًا بشكل متزايد للعمليات التي ترعاها الدولة والتي تستغل تطبيقات SNMP الأقدم ومشكلات التثبيت الذكي من Cisco – التي تم تحديدها منذ عقود. وتظل هذه العيوب المعروفة بمثابة ناقلات وصول أولية فعالة لأن أجهزة التوجيه والأجهزة الأساسية الأخرى أقل مراقبة، وأكثر تخفيًا، وتسمح بالاستمرار حتى من خلال التحديثات.
توفر أجهزة التوجيه الطرفية المعرضة للخطر موطئ قدم دائم لأن المسؤولين غالبًا ما يتركون بروتوكولات الإدارة مفتوحة من أجل الراحة، ولكن نادرًا ما يخضعونها لنفس المراقبة المستمرة المطبقة على الخوادم أو نقاط النهاية. تتضمن ملفات التكوين التي يتم جمعها عبر SNMP في كثير من الأحيان تجزئات ضعيفة لكلمات مرور Cisco Type 0 أو Type 4 أو Type 7، والتي تحول خطأ SNMP واحد إلى فرص حركة جانبية أوسع.
“يدعم Eclypsium دعوة CISA لتحسين نظافة جهاز التوجيه. وعندما يتم اختراق الأساس، يتم إضعاف حزمة الأمان بأكملها،” أوضح أسادوريان.
“تحتاج المؤسسات إلى الرؤية والتحقق من النزاهة والثقة المستمرة في أجهزتها ومكوناتها لتظل مرنة ضد تهديدات الدولة القومية. يعد إنشاء الثقة في البنية التحتية لشبكتك قبل النشر وأثناءه وبعده أمرًا بالغ الأهمية لتقليل مخاطر التسوية والحفاظ على المرونة ضد الجهات الفاعلة في الدولة القومية.”
نشرت وكالات الأمن السيبراني المتحالفة خطوات محددة للتكوين والتحكم في الشبكة يمكن للمؤسسات تطبيقها دون انتظار ميزات البائع الجديدة:
تصلب الشبكة التكتيكية
يجب على فرق الشبكة إعطاء الأولوية لتعطيل Cisco Smart Install على كل جهاز لا يزال نشطًا فيه. يجب أن تنتقل الأجهزة أيضًا إلى SNMPv3 باستخدام authPriv وأقوى تشفير يدعمه النظام الأساسي، مما يضمن إزالة جميع سلاسل مجتمع القراءة والكتابة بالكامل. في الحالات التي تظل فيها إصدارات SNMP القديمة مطلوبة بشكل صارم، يجب تغيير سلاسل المجتمع من إعدادات المصنع الافتراضية وتقييدها بالوصول للقراءة فقط.
تتطلب حسابات الأجهزة المحلية كلمات مرور طويلة وفريدة مجزأة بالنوع 8، مما يؤدي إلى التخلص تمامًا من المتغيرات القديمة من النوع 0 و4 و7. يجب على المسؤولين نشر قوائم التحكم في الوصول لعزل اتصالات SNMP وTFTP وSmart Install بشكل صارم للشبكات الفرعية للإدارة، بهدف إجراء عمليات خارج النطاق تمامًا كلما كان ذلك ممكنًا.
يجب تكوين جدران الحماية المتطورة لحظر الاتصالات غير الموثوقة التي تستهدف UDP 69 (TFTP)، وTCP 4786 (SMI)، ومنافذ SNMP القياسية، بما في ذلك كلاً من UDP 161-162 وTCP/UDP 10161-10162. عندما تتطلب احتياجات العمل استثناءً، يجب على فرق الأمان أن تطلب مبررات موثقة وترفع مستوى التسجيل بشكل كبير لتلك المسارات.
الكشف والرؤية وصيد التهديدات
من ناحية المراقبة، يعد تأمين معرفات الكائنات (OIDs) خارج المحطات المسموح لها بالاستعلام باستخدام قوائم MIB المسموح بها بمثابة رادع فعال. أنت بحاجة إلى مراقبة معرفات OID الخاصة بـ Cisco Config Copy والموجودة في 1.3.6.1.4.1.9.9.96.1.1، جنبًا إلى جنب مع معرف الكائن (OID) لعنوان خادم Config Copy Server المصاحب. يمكن أن يُظهر لك معرف الكائن الأخير هذا بالضبط المكان الذي يحاول فيه المهاجم إرسال ملف التكوين الذي تم تفريغه.
تأكد من ضبط أنظمة كشف التطفل لديك على تشغيل التنبيهات عندما تحتوي طلبات التعيين الواردة على هذه المعرفات. وأيضًا، نظرًا لأن مهام الإدارة اليومية العادية الخاصة بك يجب أن يتم تشغيلها بالفعل من خلال بوابات مركزية مدعومة بمصادقة متعددة العوامل، فيجب التعامل مع أي عمليات تسجيل دخول مفاجئة من حسابات الجهاز المحلي كعلامة حمراء تستدعي استجابة فورية.
يايجب على المؤسسات إجراء مسح روتيني لسطح الهجوم على جميع الأصول الخارجية لتحديد نقاط الضعف المتبقية. يمكن لمشغلي البنية التحتية الحيوية في الولايات المتحدة القيام بذلك مجانًا عبر خدمات النظافة السيبرانية التابعة لـ CISA، ويمكن لمقاولي الدفاع الاستفادة من خدمات DIB للأمن السيبراني التابعة لوكالة الأمن القومي.
أنظر أيضا: الولايات المتحدة تتصدر تصنيف الاستعداد لانقطاع الإنترنت

هل تريد معرفة المزيد عن الأمن السيبراني من قادة الصناعة؟ اطلع على معرض الأمن السيبراني والسحابي الذي يقام في أمستردام وكاليفورنيا ولندن. يعد هذا الحدث الشامل جزءًا من TechEx ويقام في مكان مشترك مع الأحداث التكنولوجية الرائدة الأخرى بما في ذلك معرض الذكاء الاصطناعي والبيانات الضخمة. انقر هنا لمزيد من المعلومات.
يتم تشغيل الاتصالات بواسطة TechForge Media. استكشف الأحداث والندوات عبر الإنترنت الأخرى المتعلقة بتكنولوجيا المؤسسات هنا.

