يتراجع ممثلو التهديدات المرتبطة بالحكومة الروسية على ضعف عمره سبع سنوات في معدات Cisco التي كانت تم الكشف عنها لأول مرة في عام 2018، وفقا لتحذير جديد من مكتب التحقيقات الفيدرالي.
العيب المعني ، تم تتبعه CVE-2018-0171، موجودة في ميزة التثبيت الذكي (SMI) في Cisco’s نظام التشغيل عبر الإنترنت (iOS) و iOS XE. ينشأ من خلال التحقق غير الصحيح لبيانات الحزمة ويتم استغلاله عن طريق إرسال رسالة تثبيت ذكية مصنوعة خصيصًا إلى جهاز ضعيف على منفذ TCP 4786.
إذا تركت غير مسببة ، تمكّن المهاجم البعيد غير المصوق من تحقيق حالة رفض للخدمة (DOS) ، أو لإجراء تنفيذ التعليمات البرمجية عن بُعد (RCE).
في العام الماضي ، قال مجلس الاحتياطي الفيدرالي إنهم اكتشفوا الجهات الفاعلة في التهديدات التي تجمع ملفات التكوين لآلاف أجهزة شبكة نهاية الحياة المعرضة ل CVE-2018-0171 ، والتي قالت إنها لا تزال قيد الاستخدام في العديد من مشغلات البنية التحتية الوطنية الحرجة (CNI) في الولايات المتحدة.
“في بعض الأجهزة الضعيفة ، قامت الجهات الفاعلة بتعديل ملفات التكوين لتمكين الوصول غير المصرح به لتلك الأجهزة” ، ” قال مكتب التحقيقات الفيدرالي في بيان.
“استخدم الجهات الفاعلة الوصول غير المصرح به لإجراء الاستطلاع في شبكات الضحايا ، والتي كشفت عن اهتمامها بالبروتوكولات والتطبيقات المرتبطة عادةً بأنظمة التحكم الصناعية.”
دب بيريك
قالت السلطات الأمريكية إن الوحدة التي تدير سلسلة من عمليات الاقتحام الحالية من المحتمل أن تكون Beserk Bear ، المعروفة أيضًا باسم Dragonfly ، وهي وحدة إلكترونية من خدمة الأمن الفيدرالية في روسيا ، وهي FSB ، والتي من المعروف أنها تستهدف أجهزة الشبكات – لا سيما تلك التي تقبل بروتوكولات إرثية ، وقد عملت سابقًا على شبكية مخصصة للتشويش التي تستهدف بشكل خاص منتجات CISCO بشكل خاص. طرق متراة.
قالت باحثو Cisco Talos Sara McBroom و Brandon White إن Cisco لاحظت Beserk Bear – Tundra Static في لغة – يتصرفون ضد منتجات Cisco منذ عام 2015 على الأقل ، وحث المستخدمين على التصحيح ضد CVE-2018-0171 على سبيل الإلحاح.
“يتم حث العملاء بشدة على تطبيق التصحيح الذي تم إعطاؤه فورًا الاستغلال النشط والمستمر للضعف … الأجهزة التي تتجاوز نهاية الحياة ولا يمكنها دعم التصحيح تتطلب احتياطات أمان إضافية على النحو المفصل في 2018 الاستشارات الأمنية. الأجهزة غير المذهلة مع تمكين التثبيت الذكي لا تزال عرضة لهذه الهجمات وغيرها إلا إذا اتخذ العملاء إجراءاتقالوا.
أشار McBroom و White أيضًا إلى أن استهداف ممثل التهديد يمتد إلى ما وراء الولايات المتحدة وأمريكا الشمالية ، مع أهداف أولية تشمل المنظمات في قطاعات التعليم العالي والتصنيع والاتصالات في آسيا وأفريقيا وأوروبا. وأضافوا أن ضحايا Beserk Bear قد تم اختيارهم بناءً على قيمتهم الاستراتيجية لأهداف الحكومة الروسية الجيوسياسية والاستخبارية.
“نقوم بتقييم أن هدفين التشغيلين الأساسيين في Tundra ، أحدهما ، وهما ، وهما ، وهما ، وهما ، وهما ، وهما ، وهما ، من أجهزة الشبكة ، لجمع معلومات تكوين الأجهزة الحساسة التي يمكن الاستفادة منها لدعم العمليات المستقبلية ، واثنان ، وصول وصول مستمر إلى بيئات الشبكة لدعم التجسس على المدى الطويل في التوافق مع المصالح الاستراتيجية الروسية.
“بسبب الوجود العالمي الكبير للبنية التحتية لشبكة Cisco والوصول المحتمل الذي توفره ، تركز المجموعة بشكل كبير على استغلال هذه الأجهزة وربما أيضًا تطوير الأدوات للتفاعل مع هذه الأجهزة والاستمرار فيها” ، حذر McBroom و White.
