Einleitung:
Am 18. April 2023 veröffentlichten der NCSC, die NSA, die CISA und das FBI eine gemeinsame Sicherheitsempfehlung zu den TTPs, die hinter einer Malware-Kampagne von APT28 (auch bekannt als Fancy Bear), einer vom russischen Staat gesponserten Gruppe von Bedrohungsakteuren, im Jahr 2021 standen. Die Kampagne zielte auf ungepatchte Cisco-Router ab, auf denen das exponierte Simple Network Management Protocol (SNMP) läuft, und nutzte mehrere RCE-Schwachstellen in SNMP (CVE-2017-6742), um Malware auf diesen Geräten zu installieren. Infolgedessen wurden mehrere Einrichtungen der US-Regierung und etwa 250 Opfer in der Ukraine kompromittiert. Diese Schwachstellen werden immer noch aktiv ausgenutzt.
SNMP wurde entwickelt, um die Fernüberwachung von Netzwerkgeräten zu ermöglichen. Es kann jedoch auch für böswillige Zwecke verwendet werden, um auf interne Netzwerkdaten zuzugreifen. In den schwerwiegendsten Szenarien können Angreifer SNMP nutzen, um die Kontrolle über das Gerät zu übernehmen, eine umfassende Karte des gesamten Netzwerks zu erstellen und andere potenzielle Ziele im Netzwerk ausfindig zu machen.
CVE-2017-6742 betrifft alle Versionen von SNMP (1, 2c und 3), und ein Angreifer könnte diese Schwachstellen ausnutzen, indem er ein speziell gestaltetes SNMP-Paket über IPv4 oder IPv6 an ein anfälliges Gerät sendet. Mit Hilfe von Tools wie net-snmp kann man leicht Routing-Tabellen, Arp-Tabellen und detaillierte Informationen über die Laufzeit abrufen. Schlecht konfigurierte Geräte, die standardmäßige oder leicht zu erratende Community-Strings verwenden, sind besonders anfällig für solche Angriffe. Zusätzlich zur Ausnutzung von CVE-2017-6742 gelang es APT28, durch die Ausnutzung schwacher SNMP-Community-Strings, einschließlich des Standard-Community-Strings "public", auf Router-Informationen zuzugreifen. Siehe den Jaguar Tooth Malware-Analysebericht für weitere Details zu den TTPs.
Laut Ciscos 2017 Sicherheitshinweissind die folgenden 9 SNMP Management Information Bases (MIBs) von dieser Sicherheitslücke betroffen:
- ADSL-LINE-MIB
- ALPS-MIB
- CISCO-ADSL-DMT-LINE-MIB
- CISCO-BSTUN-MIB
- CISCO-MAC-AUTH-BYPASS-MIB
- CISCO-SLB-EXT-MIB
- CISCO-VOICE-DNIS-MIB
- CISCO-VOICE-NUMBER-EXPANSION-MIB
- TN3270E-RT-MIB
"Alle oben aufgeführten MIBs sind standardmäßig aktiviert, wenn SNMP aktiviert ist. Einige der MIBs sind möglicherweise nicht auf allen Systemen oder Versionen vorhanden, werden aber aktiviert, wenn sie vorhanden sind", heißt es in dem Advisory.
Unabhängig davon, ob Ihre Cisco-Geräte für diesen speziellen Exploit anfällig sind, ist es generell für Einzelpersonen und Unternehmen wichtig, zu überprüfen, ob SNMP auf ihren Cisco-Geräten aktiviert ist. SNMP ist ein Beispiel für ein Tool, das für die Netzwerkverwaltung sehr leistungsfähig ist, in den falschen Händen aber auch gefährlich sein kann. Cisco-Router gehören oft zu den kritischen Infrastrukturen eines Unternehmens und sollten nicht mit öffentlichem SNMP betrieben werden. Wenn der Dienst öffentlich zugänglich sein muss, müssen Administratoren sicherstellen, dass sie die neuesten Cisco-Patches installiert haben und die Bedrohung durch diese Malware-Aktivitäten entschärfen, insbesondere jetzt, da die Ausnutzungstaktiken veröffentlicht wurden.
Bei den Netzen, in denen diese Geräte betrieben werden, handelt es sich um eine Mischung aus Telekommunikationsunternehmen und Internetanbietern. Das Netz mit der höchsten Konzentration von Expositionen ist SOVAM-AS, das zu PJSC VimpelCom, einem großen russischen Telekommunikationsunternehmen, gehört.
| Die 10 wichtigsten autonomen Systeme mit Cisco-Routern, die SNMP nutzen |
 |
| Name |
ASN |
Host-Zahl |
% |
| SOVAM-AS |
3216 |
1203 |
3.05% |
| BOUYGTEL-ISP |
5410 |
1079 |
2.74% |
| DU-AS1 |
15802 |
871 |
2.21% |
| BLUECRANE |
328198 |
803 |
2.04% |
| CTC. CORP S.A. TELEFONICA EMPRESAS |
37200 |
640 |
1.62% |
| SIMBANET-NIGERIA |
16629 |
632 |
1.60% |
| COMCAST-7922 |
7922 |
565 |
1.43% |
| Skyvision-Guinee-AS |
328244 |
553 |
1.40% |
| VTCNET |
19881 |
538 |
1.36% |
| LVLT-3549 |
3549 |
494 |
1.25% |
