Piratas informáticos aprovechan vulnerabilidades con implementación de malware en Routers de Cisco

Estados Unidos, Reino Unido y la empresa Cisco advierten de la implementación de un malware personalizado, conocido como ‘Jaguar Tooth’ en routers Cisco IOS y que permitiría el acceso no autenticado al equipo. Este malware sería creado por un grupo de piratas informáticos denominados “APT28”, mismos que estarían patrocinados por el estado ruso.

A este grupo APT28, también conocido como Fancy Bear, Strontium, Sednit y Sofacy, se le atribuiría una amplia gama de ataques, que atentarían a los intereses europeos y estadounidenses, aprovechando de exploits de día cero para realizar ciberespionaje.

Acorde al informe publicado por el Centro Nacional de Seguridad Cibernética (NCSC) de Reino Unido, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de EEUU, la NSA y el FBI, se detalla cómo estos piratas informáticos (APT28) han estado explotando una antigua falla SNMP en los routers Cisco IOS, para implementar este malware ‘Jaguar Tooth’.

Jaguar Tooth, es un malware no persistente que se inyecta directamente en la memoria de los routers Cisco que ejecutan versiones de firmware anteriores, como C5350-ISM, versión 12.3 (6). Una vez instalado, el malware extrae información del router y proporciona accesos de backdoor al equipo.

Este malware recopila información del equipo router y la filtra por TFTP, además tiene la capacidad de implementarse y ejecutarse, mediante la explotación de la vulnerabilidad SNMP parcheada conocida como CVE-2017-6742.

Estos atacantes realizan búsquedas de equipos routers Cisco públicos utilizando cadenas débiles de SNMP community. Cabe destacar que estas cadenas de SNMP community son como credenciales que permiten que cualquier persona que conozca la cadena configurada consulte los datos de SNMP en un dispositivo.

Si se descubre una cadena de SNMP community válida, estos atacantes llegarían a explotar la vulnerabilidad SNMP CVE-2017-6742, misma que fue corregida en junio de 2017. Esta vulnerabilidad es una falla de ejecución de código remoto (RCE) no autenticado con código de explotación disponible públicamente.

Una vez que el equipo sea vulnerado, Jaguar Tooth otorga acceso a las cuentas locales existentes, sin verificar la contraseña proporcionada. Esto principalmente cuando existen conexiones mediante Telnet o una sesión física. Como acotación, este malware está en la capacidad de crear un nuevo proceso llamado ‘Service Policy Lock’ que recopila la salida de comandos en una CLI y la extrae mediante TFTP, estos comandos serían:

  • show running-config
  • show version
  • show ip interface brief
  • show arp
  • show cdp neighbors
  • show start
  • show ip route
  • show flash

Productos afectados

Cisco IOS routers con firmware: C5350-ISM

Versiones afectadas

Version 12.3(6)  

Recomendaciones:

  • Todos los administradores de Cisco deben actualizar sus routers al firmware más reciente para mitigar estos ataques.
  • Cisco también recomienda cambiar de SNMP a NETCONF/RESTCONF en routers públicos para administración remota, ya que ofrece seguridad y funcionalidad más sólidas.
  • Si se requiere SNMP, los administradores deben configurar ACLs permit /deny para restringir quién puede acceder a la interfaz SNMP en routers expuestos públicamente, y la cadena comunitaria debe cambiarse a una cadena aleatoria lo suficientemente fuerte.
  • CISA también recomienda deshabilitar SNMP v2 o Telnet en los routers de Cisco, ya que estos protocolos podrían permitir el robo de credenciales del tráfico no cifrado.
  • Finalmente, si se sospecha que un dispositivo ha sido comprometido, CISA recomienda utilizar los consejos de Cisco para verificar la integridad de la imagen del IOS, revocar todas las claves asociadas con el dispositivo y no reutilizar las claves antiguas, y reemplazar las imágenes con aquellas directamente de Cisco.

Referencias: