Russische Staatshacker nutzen 7 Jahre alte Sicherheitslücke im Cisco-Router aus

FBI und Cisco warnen, dass russische Hacker eine 7 Jahre alte Cisco Smart Install-Sicherheitslücke auf veralteten Routern und Switches weltweit ausnutzen.

Tausende veraltete Cisco-Geräte, die keine Sicherheitsupdates mehr erhalten, werden derzeit für eine Cyberspionagekampagne missbraucht, heißt es in gemeinsamen Warnungen des FBI und Cisco Talos.

Eine vom russischen Staat geförderte Gruppe namens Static Tundra, die auch als Dragonfly, Energetic Bear und Berserk Bear bekannt ist, nutzt eine sieben Jahre alte Sicherheitslücke aus, die von vielen Organisationen nie behoben wurde.

Die Sicherheitslücke CVE-2018-0171 betrifft Ciscos Smart-Install-Funktion und ermöglicht es Angreifern, Code auszuführen oder ein Gerät zum Absturz zu bringen. Cisco hat das Problem bereits 2018 behoben, doch viele Systeme bleiben ungeschützt, weil sie entweder nie aktualisiert wurden oder das Ende ihrer Lebensdauer (EOL) erreicht haben und keine Patches mehr erhalten. Diese Geräte, die in der Telekommunikation, der Fertigung und im Hochschulwesen weit verbreitet sind, sind zu einem einfachen Einstiegspunkt für eine der hartnäckigsten Geheimdiensteinheiten Russlands geworden.

Bereits im April 2018 berichtete Hackread.com, dass Angreifer CVE-2018-0171 ausnutzten, um Cisco-Switches in Rechenzentren im Iran und Russland anzugreifen. Durch Missbrauch der Smart-Install-Funktion kaperten sie die Geräte und ersetzten das iOS-Image durch ein Image mit der US-Flagge.

Static Tundra ist mit dem Zentrum 16 des russischen Inlandsgeheimdienstes FSB verbunden und seit über einem Jahrzehnt aktiv. Forschern zufolge hat die Gruppe Automatisierungstools entwickelt, um das Internet zu scannen. Dabei nutzt sie häufig Dienste wie Shodan und Censys , um Ziele zu identifizieren, auf denen Smart Install noch läuft.

Nach einem Einbruch ziehen sie Gerätekonfigurationen ab, die oft Administratoranmeldeinformationen und Details zur umfassenderen Netzwerkinfrastruktur enthalten und so eine Startrampe für tiefergehende Kompromittierungen bieten.

Das FBI gibt an, bereits Konfigurationsdaten von Tausenden US-Geräten in kritischen Infrastrukturbereichen exfiltriert zu haben. In einigen Fällen änderten die Angreifer Geräteeinstellungen, um weiterhin Zugriff auf die Netzwerke zu haben. Dabei interessierten sie sich insbesondere für Systeme, die zum Betrieb von Industrieanlagen und -abläufen beitragen.

Static Tundra hat bereits SYNful Knock eingesetzt, ein bösartiges Implantat für Cisco-Router, das erstmals 2015 dokumentiert wurde. Dieses Implantat übersteht Neustarts und ermöglicht Fernzugriff über speziell entwickelte Pakete. Darüber hinaus missbraucht die Gruppe unsichere SNMP-Community-Strings, manchmal sogar Standard-Strings wie „public“, um weitere Daten zu extrahieren oder neue Befehle auf Geräte zu übertragen.

Die Forscher von Cisco Talos beschreiben die Operation als „hochkomplex“. Es gibt Hinweise darauf, dass kompromittierte Geräte jahrelang unter der Kontrolle der Angreifer bleiben. Sie warnen, dass Russland nicht das einzige Land ist, das solche Operationen durchführt. Das bedeutet, dass jede Organisation mit ungepatchter oder veralteter Netzwerkausrüstung durch mehrere staatliche Akteure gefährdet sein könnte.

„Diese FBI-Warnung unterstreicht, wie wichtig es ist, ein aktuelles Inventar zu führen (um zu wissen, was Angreifern zur Verfügung steht) und wie wichtig es ist, weiterhin auf die Aktualität der Patches und das Konfigurationsmanagement zu achten, bis das Gerät offline genommen wird“, sagte Trey Ford , Chief Strategy and Trust Officer bei Bugcrowd, einem in San Francisco, Kalifornien, ansässigen führenden Unternehmen im Bereich Crowdsourcing-Cybersicherheit.

„Bei der betroffenen CVE (CVE-2018-0171) handelt es sich um einen RCE-Exploit (Remote Code Execution) mit hoher Punktzahl. Während es in einigen Umgebungen (wie Fertigung, Telekommunikation und anderen kritischen Infrastrukturen) aufgrund geplanter Patch-Zyklen zu Produktionsverzögerungen kommen kann, ist es etwas überraschend, dass es bis zur breiten Ausnutzung dieser Art von Sicherheitslücke eine Verzögerung von sieben Jahren gibt“, fügte er hinzu.

Sowohl das FBI als auch Cisco haben dringende Empfehlungen ausgesprochen. Unternehmen sollten Geräte, auf denen Smart Install noch läuft, umgehend patchen oder die Funktion deaktivieren, wenn Patchen nicht mehr möglich ist.

Für ältere, nicht unterstützte Hardware empfiehlt Cisco, einen Austausch einzuplanen, da diese Geräte nie repariert werden. Cybersicherheitsadministratoren sollten auf verdächtige Konfigurationsänderungen, ungewöhnlichen SNMP-Verkehr und unerklärliche TFTP-Aktivitäten achten, die häufige Anzeichen dieser Kampagne sind.

Das FBI fordert außerdem alle Personen, die den Verdacht haben, dass ihre Systeme angegriffen wurden, dazu auf, die Ergebnisse über das Internet Crime Complaint Center zu melden.