Ir al contenido
Próximo seminario web: Libere el poder de la búsqueda en Censys con Em Averton | 27 de junio a las 13:00 ET | Regístrese ahora
Blogs

CVE-2017-6742 Vulnerabilidad SNMP explotada activamente en routers Cisco

Resumen:

  • El grupo de hackers con sede en Rusia APT28 (también conocido como Fancy Bear) ha estado explotando vulnerabilidades SNMP de seis años de antigüedad en routers Cisco sin parchear(CVE-2017-6742) en una campaña internacional de malware desde 2021 
  • El pasado martes, varias agencias gubernamentales de EE.UU. y el Reino Unido publicaron un aviso de seguridad en el que se describían las tácticas de explotación de la campaña para ayudar a las organizaciones a defenderse de ella.
  • Censys encontró más de 39.000 routers Cisco con servicios SNMP públicos, la mayoría concentrados en Asia y Europa. Nótese que este recuento corresponde a todos los dispositivos Cisco con SNMP expuesto, no necesariamente a dispositivos vulnerables. El SNMP expuesto puede servir como punto de entrada para que los actores de amenazas lleven a cabo el reconocimiento de la red, y no debería estar expuesto en infraestructuras de red críticas.

Introducción:

El 18 de abril de 2023, el NCSC, la NSA, el CISA y el FBI publicaron un aviso de seguridad conjunto en relación con las TTP detrás de una campaña de malware 2021 de APT28 (también conocido como Fancy Bear), un grupo de actores de amenazas ruso patrocinado por el estado. La campaña estaba dirigida a routers Cisco sin parches que ejecutaban el protocolo Simple Network Management (SNMP) expuesto mediante la explotación de múltiples vulnerabilidades RCE en SNMP (CVE-2017-6742) para desplegar malware en estos dispositivos. Como resultado, varios activos del gobierno de los Estados Unidos y aproximadamente 250 víctimas en Ucrania se vieron comprometidos. Estas vulnerabilidades todavía están siendo explotadas activamente.

SNMP se desarrolló para permitir la monitorización remota de dispositivos de red. Sin embargo, puede utilizarse con fines maliciosos para acceder a datos internos de la red. En los escenarios más graves, los atacantes pueden aprovechar SNMP para asumir el control del dispositivo, crear un mapa completo de toda la red y localizar otros objetivos potenciales en la red. 

CVE-2017-6742 afecta a todas las versiones de SNMP (1, 2c y 3), y un atacante podría explotar estas vulnerabilidades enviando un paquete SNMP especialmente diseñado a un dispositivo vulnerable a través de IPv4 o IPv6. Aprovechando herramientas como net-snmp, se pueden obtener fácilmente tablas de enrutamiento, tablas arp e información detallada sobre el tiempo de ejecución. Los dispositivos mal configurados que utilizan cadenas de comunidad predeterminadas o fáciles de adivinar están especialmente expuestos a este tipo de ataques. Además de explotar CVE-2017-6742, APT28 logró acceder a información del router mediante la explotación de cadenas de comunidad SNMP débiles, incluyendo la predeterminada "public". Véase el informe de análisis de malware para obtener más detalles sobre los TTP.

Según el 2017 de Ciscolas 9 bases de información de gestión SNMP (MIB) afectadas por esta vulnerabilidad son:

  • ADSL-LINE-MIB
  • ALPS-MIB
  • CISCO-ADSL-DMT-LINE-MIB
  • CISCO-BSTUN-MIB
  • CISCO-MAC-AUTH-BYPASS-MIB
  • CISCO-SLB-EXT-MIB
  • CISCO-VOICE-DNIS-MIB
  • CISCO-VOICE-NUMBER-EXPANSION-MIB
  • TN3270E-RT-MIB

"Todas las MIB enumeradas anteriormente están activadas por defecto cuando se activa SNMP. Algunas de las MIB pueden no estar presentes en todos los sistemas o versiones, pero se habilitan cuando están presentes", reza el aviso.

Independientemente de si sus dispositivos Cisco son vulnerables a este exploit en particular, en general es importante que tanto las personas como las organizaciones comprueben si SNMP está habilitado en sus dispositivos Cisco. SNMP es un ejemplo de herramienta potente para la gestión de redes, pero peligrosa en las manos equivocadas. Los routers Cisco suelen estar entre los activos de infraestructura críticos de una organización y no deberían tener SNMP público en ejecución. Si el servicio debe ser público, los administradores deben asegurarse de que han aplicado los últimos parches de Cisco y mitigar la amenaza de esta actividad de malware, especialmente ahora que se han publicado las tácticas de explotación. 

CensysPerspectiva

Censys descubrió la asombrosa cifra de más de 39.000 routers Cisco con SNMP público en Internet. Tenga en cuenta que se trata de dispositivos potencialmente vulnerables: las versiones específicas de Cisco IOS afectadas por CVE-2017-6742 son Cisco IOS 12.0 a 12.4 y 15.0 a 15.6 e IOS XE 2.2 a 3.17. Identificar estos dispositivos expuestos fue trivial para nosotros, como lo sería para un actor de amenazas.

 

Vista geográfica de los routers Cisco que exponen SNMP en Internet (creado con kepler.gl)

Estos son los diez primeros países en los que se han observado estos dispositivos:

Los 10 países con routers Cisco que exponen SNMP
País Recuento de anfitriones %
Estados Unidos 4871 12.36%
Rusia 3093 7.85%
India 2931 7.44%
Francia 1562 3.96%
Italia 1317 3.34%
Nigeria 1316 3.34%
Tailandia 1261 3.20%
Brasil 1042 2.64%
Emiratos Árabes Unidos 1007 2.55%
Chile 919 2.33%

 

Los tipos de redes en las que vemos funcionar estos dispositivos son una mezcla de empresas de telecomunicaciones e ISP. La red con mayor concentración de exposiciones es SOVAM-AS, perteneciente a PJSC VimpelCom, una importante empresa rusa de telecomunicaciones.

Los 10 principales sistemas autónomos con routers Cisco que exponen SNMP
Nombre ASN Recuento de anfitriones %
SOVAM-AS 3216 1203 3.05%
BOUYGTEL-ISP 5410 1079 2.74%
DU-AS1 15802 871 2.21%
BLUECRANE 328198 803 2.04%
CTC. CORP S.A. TELEFONICA EMPRESAS 37200 640 1.62%
SIMBANET-NIGERIA 16629 632 1.60%
COMCAST-7922 7922 565 1.43%
Skyvision-Guinee-AS 328244 553 1.40%
VTCNET 19881 538 1.36%
LVLT-3549 3549 494 1.25%

CVE-2017-6742 sigue siendo explotado activamente en dispositivos Cisco vulnerables. A medida que aumentan los ataques a la infraestructura de red, las campañas de malware como esta en activos de red críticos siguen planteando una grave amenaza para las organizaciones. Animamos encarecidamente a los defensores de las redes a que comprueben las exposiciones en sus redes y parcheen lo antes posible para mitigar el riesgo de compromiso.

¿Qué se puede hacer?

  • Parchee sus dispositivos Cisco y siga otras medidas de mitigación recomendadas en el Cisco's vendor advisory
  • Compruebe si hay routers Cisco que expongan SNMP en sus redes usando esto Censys Consulta de búsqueda
  • Censys Los clientes de Exposure Management pueden utilizar la siguiente consulta para comprobar la exposición en su inventario de activos: risks.name="Cisco Router con Público SNMP PÚBLICO".
  • Si el enfoque del enrutador de su organización en el Censys Search Query o el riesgo está presente en Censys Exposure Management, los administradores de red deben identificar la versión de software específica y el parche a través de la cli y la referencia cruzada con Comprobador de software de Cisco para validarlo. Se recomienda la aplicación inmediata de parches si se ejecuta un vulnerable vulnerable.
  • En general, si tiene una necesidad comercial de utilizar SNMP, tome medidas para protegerlo adecuadamente. Consulte Recomendaciones de seguridad de CISA para minimizar el riesgo de abuso de SNMP

Referencias:

 

Sobre el autor

Himaja Motheram
Investigador de seguridad
Himaja Motheram es investigador de seguridad en Censys y trabaja para responder a preguntas interesantes sobre Internet utilizando los datos de búsqueda de Censys .
Soluciones de gestión de la superficie de ataque
Más información