Cisco relata vulnerabilidade explorada em ataque de hackers russos

São Paulo — InkDesign News — Os hackers russos do grupo Static Tundra estão explorando uma vulnerabilidade antiga na funcionalidade Smart Install da Cisco, que permite a execução remota de código. A vulnerabilidade, identificada como CVE-2018-0171, foi divulgada em 2018, mas muitos dispositivos permanecem desatualizados e vulneráveis.

Incidente e vulnerabilidade

A vulnerabilidade CVE-2018-0171 concerne à funcionalidade Smart Install da Cisco e possibilita que atacantes executem códigos maliciosos ou até mesmo derrubem dispositivos. A Cisco lançou um patch para essa falha em 2018, mas, de acordo com o FBI e Cisco Talos, milhares de dispositivos que não receberam as atualizações estão agora sendo explorados em uma campanha de espionagem cibernética. Essa brecha afeta particularmente equipamentos utilizados em setores como telecomunicações, manufatura e educação superior, que frequentemente não são atualizados devido ao seu status de fim de vida (EOL).

Impacto e resposta

Há evidências de que o Static Tundra, vinculado ao Serviço Federal de Segurança da Rússia (FSB) e ativo há mais de uma década, está coletando configurações de dispositivos que incluem credenciais administrativas e informações sobre a infraestrutura de rede, o que facilita ataques mais profundos. O FBI observou que a configuração de dados já foi extraída de milhares de dispositivos nos EUA, afetando setores críticos. Em alguns casos, os atacantes alteraram as configurações dos dispositivos para garantir o acesso contínuo às redes. O FBI também mencionou que os sistemas que operam equipamentos industriais são de particular interesse.

Mitigações recomendadas

As autoridades recomendam fortemente que todas as organizações realizem patching imediato em dispositivos que ainda operam com o Smart Install ou que desativem a funcionalidade caso não seja possível aplicar o patch. Para equipamentos mais antigos e sem suporte, a Cisco sugere planejamento para substituição, uma vez que esses dispositivos nunca receberão correções. Administradores de segurança cibernética devem monitorar mudanças suspeitas de configuração, tráfego incomum de SNMP e atividades inexplicáveis de TFTP, que são sinais comuns desta campanha.

“A notificação do FBI sublinha a importância de manter um inventário atualizado e a vigilância contínua sobre a gestão de patches e configurações até que o dispositivo seja retirado de operação.”
(“This FBI Alert underscores the importance of both maintaining a current inventory (knowing what’s available to attackers), and how important continued vigilance of patching currency and configuration management remains until the device is taken offline.”)

— Trey Ford, Chief Strategy and Trust Officer, Bugcrowd

“A exploração dessa vulnerabilidade, que implica na execução remota de código, é preocupante especialmente dado o tempo que levou para que fosse amplamente utilizada.”
(“The impacted CVE (CVE-2018-0171) is a high scoring RCE (remote code execution) exploit – while some environments (like manufacturing, telecommunications, and other critical infrastructure) may face production delays for planned patching cycles – seeing a seven year delay for this kind of vulnerability to be widely exploited is a bit surprising.”)

— Trey Ford, Chief Strategy and Trust Officer, Bugcrowd

A situação ilustra os riscos persistentes que dispositivos desatualizados representam, destacando a necessidade de aumento na conscientização e ações proativas para mitigar vulnerabilidades cibernéticas.

Fonte: (Hack Read – Segurança Cibernética)