ABD ve müttefik hükümetleri, Rusya destekli gelişmiş kalıcı tehdit (APT) gruplarının, özellikle yönlendiriciler olmak üzere zayıf güvenlik yapılandırmalarına sahip ağ cihazlarını tarayarak kritik altyapılara erişmeye çalıştığına dair ortak bir uyarı yayınladı. FSB Center 16 ile bağlantılı Berserk Bear, Energetic Bear, Ghost Blizzard, Crouching Yeti, Dragonfly ve Static Tundra gibi gruplar, iletişim, savunma, enerji, finans, hükümet ve sağlık sektörlerini hedef alıyor. Bu uyarı, küresel ölçekte ağ cihazı güvenliğinin acilen iyileştirilmesi gerektiğini vurguluyor.
Ortak istişari bildiriye göre, "Rus Federal Güvenlik Servisi (FSB) Center 16 siber aktörleri, dünya genelinde kötü yapılandırılmış ve güvenlik açığı bulunan ağ cihazlarını sömürmeye devam ediyor ve fırsatçı bir şekilde birden fazla kritik altyapı sektörü ağına sızıyor." Bu gruplar, özellikle zayıf veya varsayılan kimlik bilgilerine sahip açık SNMP hizmetlerini tarayarak yönlendiricileri hedef alıyor. Saldırganlar, sahte talepler kullanarak cihaz yapılandırmalarını çalıyor ve bunları TFTP veya FTP aracılığıyla kendi kontrollerindeki sunuculara taşıyor.
FSB Center 16 aktörleri ayrıca bilinen Cisco güvenlik açıklarından ve yönetim arayüzlerinden yararlanıyor. Bu teknikler yalnızca Rusya'ya özgü olmayıp diğer ulus-devlet aktörleriyle de örtüştüğü için, önerilen koruma önlemleri birden fazla tehdide karşı savunma sağlıyor. Bildiride, "FSB Center 16 siber aktörleri öncelikle tarama yoluyla kötü yapılandırılmış ağ cihazlarını, özellikle yönlendiricileri, tespit ediyor. Aktörler, ortak veya varsayılan topluluk dizelerini kabul eden aktif SNMP ajanlarına sahip internet IP aralıklarını tarıyor" denildi.
Önemli Gelişmeler
SNMP taraması ana yöntem olsa da, aktörler zaman zaman Cisco cihazlarındaki yaygın güvenlik açıklarından (CVE), Cisco Smart Install (SMI) işlevselliğinden ve ağ cihazlarını yönetmek için kullanılan web portallarından da yararlanıyor. Rusya bağlantılı tehdit aktörleri, CVE-2018-0171 ve CVE-2008-4128 gibi bilinen açıkları kullanarak ağ cihazlarını tehlikeye attı. Bu teknikler, Salt Typhoon gibi diğer tehdit gruplarıyla da örtüşüyor.
Detaylar ve Etkileri
Ağ savunmacılarının yönlendirici güvenliğini artırmak için Cisco Smart Install'ı devre dışı bırakmaları, SNMPv1/v2'yi güçlü şifreleme ile SNMPv3 ile değiştirmeleri ve benzersiz parolaları güvenli depolama ile zorunlu kılmaları gerekiyor. Kuruluşlar, SNMP etkinliğini izlemeli, ACL'ler aracılığıyla yönetim erişimini kısıtlamalı, TFTP, SMI ve SNMP gibi gereksiz portları harici ağlardan engellemeli ve şüpheli yapılandırma değişikliklerini tespit etmelidir.
Sistem Güvenliği
Ayrıca, cihaz yazılımlarının güncel tutulması, desteklenmeyen cihazların değiştirilmesi ve açık sistemleri ile zayıf yapılandırmaları belirlemek için saldırı yüzeyi yönetim araçlarının kullanılması öneriliyor. Bu önlemler, yalnızca Rus APT gruplarına karşı değil, aynı zamanda benzer teknikler kullanan diğer tehditlere karşı da etkili bir savunma sağlayacak. Siber güvenlik ekiplerinin bu önerileri acilen uygulaması, kritik altyapının korunması için hayati önem taşıyor.
Kaynak: securityaffairs.com