close

 

_15_2023.04.19_英國、美國資安主管當局示警,有_APT_駭侵團體利用特製_Cisco_路由器惡意軟體發動攻擊

英國、美國資安主管機關,包括英國國家資安中心(UK National Cyber Security Centre, NCSC)、美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)、美國國家安全局(National Security Agency, NSA)、美國聯邦調查局(Federal Bureau of Investigation, FBI),會同美國網通產品大廠 Cisco 聯合發表資安通報,指出 APT28 駭侵團體正在利用 Cisco 路由器的漏洞,以特製惡意軟體發動攻擊。

遭到 APT28 利用的 Cisco 路由器漏洞,是 CVE 編號 CVE-2017-6742 的一個老舊 SNMP 遠端執行任意程式碼漏洞;駭侵者先利用網路掃瞄工具,找出連上外部網路的 Cisco 路由器,然後對這些路由器發出某些指令,並以路由器的回應來確認該路由器是否存有此漏洞。接著駭侵者會利用該漏洞來植入名為「Jaguar Tooth」的惡意軟體,並且開始竊取各種機敏資訊,如內網系統未加密傳輸的登入資訊。

該漏洞存於 Cisco 推出且執行 C5350-ISM 版本 12.3(6) 的的 IOS 路由器,而 Cisco 早在 2017 年中便已修復該漏洞,但仍有不少 Cisco 路由器未曾修復此漏洞,導致駭侵者有機可乘。英美兩國資安主管機關與 Cisco 呼籲使用該系列 Cisco 路由器的使用者與管理者,應立即將系統韌體更新至最新版本。

此外,上述單位也建議將 SNMP 切換為安全性更高的 NETCONF/RESTCONF 來進行遠端管理;如仍需經由外網透過 SNMP 管理裝置,也應妥善設定連線黑白名單。

建議使用該系列 Cisco 路由器的使用者與管理者,應立即將系統韌體更新至最新版本。將 SNMP 切換為安全性更高的 NETCONF/RESTCONF 來進行遠端管理;如仍需經由外網透過 SNMP 管理裝置,也應妥善設定連線黑白名單。

  • 參考連結

Jaguar Tooth Cisco IOS malware that collects device information and enables backdoor access

https://www.ncsc.gov.uk/static-assets/documents/malware-analysis-reports/jaguar-tooth/NCSC-MAR-Jaguar-Tooth.pdf

US, UK warn of govt hackers using custom malware on Cisco routers

https://www.bleepingcomputer.com/news/security/us-uk-warn-of-govt-hackers-using-custom-malware-on-cisco-routers/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()