Hvorfor rutebaserte angrep kan være den neste store trenden innen cybersikkerhet

Hvorfor du bør låse opp hjemme-ruteren I BYOD-alderen er hjemmenettverket ditt nå en trusselvektor for hackere som er målrettet mot arbeidsenhetene dine, sier CUJO SVP fra Networks Marcio Avillez.
  • Felleserklæringen fra USA og Storbritannia hevder at russiske statsstøttede hackere hacker rutere for å lage man-i-midten-scenarier for datahøsting.
  • Dette er den siste av en serie rapporter de siste to månedene som indikerer at hackere interesserer seg spesielt for rutere.

Russiske statssponsorerte hackere utnytter sårbarheter i rutere og andre nettverksinfrastrukturenheter for å målrette myndigheter, private sektororganisasjoner, infrastrukturleverandører og ISP-er, ifølge en felles uttalelse som ble offentliggjort mandag fra United States Department of Homeland Security (DHS), Federal Bureau of Investigation (FBI), og National Cyber ​​Security Center (NCSC) i Storbritannia.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Rapporten bemerker at rutere er mål med høy verdi for angrep. Gitt posisjonen rutere spiller i normal nettverksdrift, er muligheten til å bruke disse enhetene i angrep mellom mennesker i midten ekstremt attraktiv for angripere. Tatt i betraktning hvor mange modeller ruteprodusentene produserer - og vanskeligheten med å støtte og oppdatere så mange enheter - den relative usikkerheten til rutere (spesielt enheter beregnet for bruk hjemme eller på hjemmekontor) gjør at disse enhetene er lite hengende frukt for hackere.

Metodikken for disse angrepene ser ut til å være primært videresending av ondsinnede SNMP- og SMI-kommandoer, noe som resulterer i at konfigurasjonsfiler videresendes til angriperne. Merket at designfeil i SMI - ellers kjent som Cisco Smart Install - ble gjenstand for et varsel fra Ciscos Talos Intelligence-team, som tidligere denne måneden advarte om at nasjonalstatens aktører utnyttet protokollen for å få kontroll over kritisk infrastruktur, skjønt rapporten sluttet ikke med å navngi hvilken nasjon som var ansvarlig. Dager senere indikerte en rapport fra Kaspersky Lab at noen brukte de samme metodene for å angripe sårbare systemer i Russland og Iran, og etterlot meldingen "Ikke rot med valget vårt" etterfulgt av en ASCII-gjengivelse av det amerikanske flagget.

Den felles rapporten indikerer at når angripere først har utnyttet SMI-kommandoer, "for det meste, er cyberaktører i stand til å få legitime legitimasjoner, som de deretter bruker for å få tilgang til rutere, " som lar angriperen oppføre seg som en mann-i-den -middle, ytterligere slik at de kan filtrere ytterligere nettverkskonfigurasjonsdata, endre enhetskonfigurasjoner, kopiere OS-data til en ekstern server, opprette GRE-tunneler og speile eller omdirigere nettverkstrafikk.

For å unngå risikoer for organisasjonen din, anbefaler rapporten å blokkere Telnet-bruk helt så vel som SNMPv1 og v2c, og analysere logger for all SNMP-trafikk, og bemerke at "Enhver korrelasjon av innkommende eller forfalsket SNMP tett fulgt av utgående TFTP bør være årsak til alarm og videre inspeksjon. "

Ekstra avbøtninger inkluderer standard forholdsregler som å ikke duplisere passord mellom enheter, ikke bruke standard enhetspassord og ikke tillate internett tilgang til administrasjonsgrensesnittet til enheter.

Fordi rutere eksisterer som et alltid-på og ofte sjelden oppdatert system, har de også blitt angrepet av andre hackere. En målrettet phishing-kampanje kalt Roaming Mantis, som hovedsakelig finnes i Sør-Korea, endret DNS-innstillinger på rutere, og viste brukerne til ondsinnede nettsteder som på sin side ba brukerne om å "oppdatere" apper på Android-telefoner for å levere en nyttelast som høstet legitimasjon, inkludert de for tofaktorautentisering.

På samme måte publiserte Akamai en rapport (PDF) tidligere denne måneden som beskrev et koordinert misbruk av feil implementeringer av UPnP på rutere slik at hackere kan injisere NAT-regler, og lage en proxy for hackere for å skjule opprinnelsen til trafikken. Akamais rapport indikerte at de fant 65 000 rutere kompromittert på denne måten, med over 4, 8 millioner rutere potensielt sårbare.

I mars detaljert en egen rapport fra Kaspersky Lab Slingshot-malware, som var rettet mot enkeltpersoner, offentlige etater og organisasjoner som primært befinner seg i Kenya, Yemen, Libya og Afghanistan. Mikrotik-rutere ble utnyttet i angrepet, selv om den eksakte angrepsmetoden er ukjent. Kaspersky pekte på "Chimay Red" -utnyttelsen som ble publisert av WikiLeaks som en del av "Vault 7" -skulen om sårbarheter som WikiLeaks hevdet stammer fra CIA. Denne utnyttelsen hadde blitt lappet for en tid tilbake, selv om sikkerhetsforsker Lorenzo Santina hevdet at Mikrotiks RouterOS var en "gruve av sårbarhet", og bemerket at relaterte angrep som Chimay Blue kan ha blitt brukt i stedet.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com