Dispozitivele de rețea sunt vizate de atacatori cibernetici

2018/04/25
Popularitate 1197

Foto: Unsplash

În data de 19 aprilie 2018, NCCIC (Centrul Național de Securitate Cibernetică și Comunicații Integrate - National Cybersecurity and Communications Integration Center) și FBI (Biroul Federal de Investigații) au fost notificate cu privire la activități cibernetice malițioase, precum redirectarea cererilor DNS către infrastructuri proprii, prin crearea tunelurilor GRE pentru obținerea de informații sensibile, precum fișierele de configurare sau lista dispozitivelor din rețea.

Ca urmare a acestor evenimente, dar și a alertelor tehnice realizate pe baza analizelor derulate de Departamentul pentru Securitate Internă (DHS - Department of Homeland Security), FBI  și Centrul Național de Securitate Cibernetică din Marea Britanie (NCSC - United Kingdom’s National Cyber Security Centre), CERT-RO a elaborat prezenta alertă de securitate cibernetică.

Rolul acesteia este de a furniza informații privind exploatarea la nivel mondial a dispozitivelor de rețea (ex. router, switch, firewall, dispozitive de detecție a intruziunilor de rețea - NIDS) de către actori cibernetici susținuți la nivel statal.  

Țintele sunt în primul rând organizațiile guvernamentale și din sectorul privat, furnizorii de infrastructură critică și furnizorii de servicii internet (ISP – Internet Service Providers) care susțin aceste sectoare.

În conținut veți regăsi detalii privind tacticile, tehnicile și procedurile (TTP) folosite de actorii cibernetici mai sus menționați.

 Victimele au fost identificate printr-o serie de acțiuni coordonate între SUA și partenerii internaționali.

Prezenta alertă se bazează pe

  • rapoartele și recomandările elaborate de Departamentele pentru Securitate Internă din SUA, Marea Britanie, Australia și Uniunea Europeană. [1-5]
  • Indicatori de compromis și informații contextuale privind comportamentele observate în rețelele victimelor compromise.

Atacatorii se folosesc de routere compromise, pentru a efectua atacuri de tip "man-in-the-middle" cu scopul de a extrage date din rețelele-victimă și mențin accesul la acestea pentru utilizarea lor în eventuale acțiuni ofensive.

Descărcare IOC []

Descriere

Încă din anul 2015, au fost înregistrate date, atât din sectorul public și cel privat, cu privire la atacuri coordonate de actori statali. Acestea vizează echipamente de rețea enterprise și SOHO (en. Small Office Home Office) și au ca principal obiectiv extragerea de date și  furt de proprietate intelectuală.

Practic, atacatorii exploatează protocoale învechite sau slabe, porturi asociate serviciilor sau activităților de administrare și proceduri inadecvate de securizate, pentru a:

  • Identifica dispozitive vulnerabile;
  • Extrage fișiere de configurare;
  • Mapa arhitectura rețelei;
  • Culege date de autentificare;
  • Obține drepturi de utilizator privilegiat;
  • Modifica regulile de firewall, sistemul de operare sau fișierul de configurare;
  • Copia sau redirecționa traficul victimelor către infrastructura proprie;
  • Modifica sau respinge traficul ce traversează sistemul afectat.

Acești atacatori nu utilizează vulnerabilități de tip zero-day sau malware instalat pe dispozitivele victimă, ci următoarele elemente:

  • protocoale cu trafic necriptat sau fără autentificare;
  • dispozitive testate insuficient;
  • dispozitive care nu mai sunt actualizate de producător (en. end-of-life).

Deține Router-ul, deține traficul - Own the Router, Own the Traffic

Dispozitivele de rețea reprezintă ținte ideale. De obicei, mare parte a traficului organizațional traversează aceste dispozitive critice.

Un actor rău intenționat, prezent în routerul perimetral al unei organizații, are capacitatea de a monitoriza, modifica și refuza traficul către și de la organizație.

Instituțiile care utilizează protocoale învechite, necriptate, pentru a gestiona stațiile și serviciile, oferă oportunității de recoltare a datelor de autentificare acestor actori.

Dacă un atacator controlează router-ul dintr-o infrastructură critică ICS-SCADA, pagubele pot fi semnificative, manipularea mesajelor vehiculate putând duce la întreruperea unui serviciu critic sau chiar la distrugerea fizică.

Dispozitivele de rețea sunt de cele mai multe ori ținte ușoare, acestea fiind omise în procesul de întreținere și actualizare, spre deosebire de sistemele desktop sau server. Mai mult decât atât, aceste dispozitive nu dispun de un antivirus, sau alte instrumente de verificare a integrității sau securității.

Din nefericire, producătorii de dispozitive livrează adesea sistemele cu servicii exploatabile, pentru a ușura instalarea, utilizarea și administrarea acestora. În consecință, foarte mulți utilizatori și administratori de infrastructuri nu modifică setările implicite ale dispozitivelor, ce duce la exploatarea acestora. Un rol important îl are și ISP-istul, care nu înlocuiește dispozitivele clienților care sunt depășite și scoase din lista de dispozitive suportate de producător.

Un alt element important ce oferă oportunitate atacatorilor este dat de modul de investigare și remediere a incidentelor de securitate, prin care dispozitivele de rețea sunt cel mai adesea ignorate.

Protocoale afectate

  • GRE - Generic Routing Encapsulation;
  • SMI - Cisco Smart Install;
  • SNMP - Simple Network Management Protocol.

Elemente de urmărit

  • Prezența traficului pe protocolul 47 dinspre sau către adrese necunoscute;
  • Prezenta tunelelor de tip GRE;
  • Modificarea sau distrugerea jurnalelor digitale.

Impact

Etapa 1: Reconnaissance

De regulă, în prima fază a unui atac informatic atacatorii execută scanări ale țintei, pentru a identifica porturile și serviciile deschise către Internet, respectiv pentru a culege cât mai multe informații despre dispozitivele potențial vulnerabile. De cele mai multe ori, protocoalele vizate în această fază sunt următoarele:

               - Telnet (portul 23/TCP)

               - Hypertext Transport Protocol (HTTP, portul 80/TCP)

               - Simple Network Management Protocol (SNMP, porturile 161/TCP și 162/TCP)

               - Cisco Smart Install (SMI, portul 4786)

În aceeași măsură, mesajele de întâmpinare la autentificare sau bannerele pot divulga date importante cu privire la versiunea dispozitivului, a software-ului instalat pe acesta sau despre producător.

De asemenea, fișierele de configurare obținute în campanii malițioase anterioare pot fi utilizate pentru calibrarea scanărilor ulterioare.

Etapele 2 și 3: Weaponization și Delivery

Mai multe organizații de securitate informatică, guvernamentale și private, au identificat în internet pachete de date specifice protocoalelor SNMP și SMI, dar modificate astfel încât dispozitivele vizate să trimită atacatorilor fișierele de configurare, utilizând protocoale pentru transferul fișierelor așa cum este Trivial File Transfer Protocol (TFTP, port 69/UDP).

În cazul în care traficul SNMP care provine din exteriorul rețelei locale este blocat, atacatorii modifică datagramele UDP, astfel încât adresa IP sursă să fie înlocuită cu una privată, similară rețelei țintă. De asemenea, în ceea ce privește protocolul SMI (un protocol fără autentificare), adresele IP sursă pot fi susceptibile la atacuri informatice de tip spoofing.

Obținerea fișierelor de configurare reprezintă o resursă importantă pentru un potențial atacator, deoarece acestea pot include date valoroase despre dispozitivul vizat precum valori hash corespunzătoare parolelor, informații SNMP de tip community strings etc. Acestea pot fi utilizate pentru obținerea unor parole derivate, cartografierea rețelei sau alte procese care ar facilita exploatarea unei ținte.

Etapa 4: Exploatarea

Crearea unui profil de utilizator cât mai apropiat de cel al unui utilizator legitim reprezintă prima metodă prin care un potențial atacator poate încerca să exploateze dispozitivul vizat. Mai mult, în anumite cazuri, atacatorii din mediul cibernetic utilizează metode de atac de tip brute-force, pentru obținerea credențialelor de Telnet sau SSH.

Cu toate acestea, de obicei, aceștia obțin mult mai ușor credențialele necesare pentru accesarea routerelor, în condițiile în care foarte multe echipamente sunt configurate cu credențiale și conturi de administrator implicite, politici pentru setarea parolelor slabe sau inexistente etc.

 De asemenea, așa cum am menționat anterior, parole legitime pot fi extrase din fișierele de configurare, fie transmise în Internet de către operatori și proprietari, fie obținute prin scanări SNMP și SMI.

Odată obținute, credențialele îi pot facilita unui atacatorconectarea de la distanță, prin protocoale ca Telnet, SSH sau chiar interfața web pentru management.

Etapa 5: Instalarea

SMI reprezintă un protocol  proprietar Cisco de management, unul care nu include autentificarea. Acest protocol prezintă o caracteristică ce permite administratorilor de rețea să descarce și să suprascrie orice fișier pe orice ruter sau switch Cisco care suportă această caracteristică. Ea este concepută cu scopul de a permite administratorilor de rețea să instaleze și să configureze de la distanță dispozitive noi și fișiere noi ale sistemului de operare.

Drept urmare, în 18 noiembrie 2016 a apărut în Internet un instrument de exploatare SIET (Smart Install Exploitation Tool). Acesta se bazează pe lipsa autentificării din protocolul SMI. Organizații comerciale și guvernamentale au remarcat atacatori  ce foloseau de SIET pentru a descărca fișiere de configurare exploatând vulnerabilitatea SMI. 

Orice atacator se poate folosi de aceste capabilități, pentru a suprascrie fișiere ce pot modifica configurațiile dispozitivelor sau pentru a încărca sisteme de operare sau firmware-uri modificate în mod malițios.

În plus, aceste dispozitive de rețea au un sistem de fișiere a cărui structură permite stocarea malware-urilor destinate altor platforme, permițând astfel răspândirea lor până la nivelul unei rețele vizate.

Etapa 6: Comanda și controlul

Atacatorii se dau drept utilizatori legitimi care se autentifică la nivelul unui dispozitiv sau care stabilesc conexiunea prin intermediul unei imagini a sistemului de operare, încărcat anterior printr-un backdoor.

Odată conectat cu succes la dispozitiv, atacatorul poate executa comenzi în mod privilegiat și creează un scenariu de tip man-in-the-middle, care le permite să efectueze următoarele operațiuni:

  • Extragerea informațiilor de configurare adiționale;
  • Exportarea imaginii sistemului de operare pe un server FTP extern controlat de atacator;
  • Modificarea configurației dispozitivului;
  • Crearea tunelurilor GRE
  • Redirectarea traficului de rețea către altă infrastructură de rețea, controlată de atacator.

La acest nivel, atacatorul nu are restricții în modificarea sau blocarea traficului către și de la victimă. Deși încă nu au fost semnalate astfel de activități, este recunoscut faptul că, din punct de vedere tehnic, acest lucru este posibil.

Soluții

Telnet

Verificați jurnalele digitale corespunzătoare și cele de netflow, pentru a identifica traficul TCP pe portul 23 (specific protocolului Telnet) către toate dispozitivele de rețea.  Cu toate că traficul Telnet poate fi direcționat către alte porturi (ex. 80 specific protocolului HTTP), ținta primară a atacurilor este reprezentată în continuare de portul 23. De asemenea, trebuie inspectate sesiunile deschise și toate încercările de autentificare la echipamente de tip Telnet.

Deoarece protocolul Telnet este necriptat, acesta poate dezvălui șiruri de caractere de tip CLI (Command Line) specifice, ce ajută la identificarea echipamentului țintă. Alte date sensibile, prezente în traficul către interfață, sunt: procedurile de autentificare, date de autentificare, comenzi pentru afișarea fișierelor de configurare, metode de creare și distrugere a tunelelor GRE etc.

În Anexele A și B regăsiți șiruri de caractere specifice echipamentelor CISCO, dar și a altor producători.

SNMP și TFTP

Verificați jurnalele digitale corespunzătoare și cele de netflow pentru a identifica traficul UDP pe porturile 161 sau 162 (specific protocolului SNMP) către toate dispozitivele de rețea. Deoarece protocolul SNMP este unul de administrare, orice trafic de acest tip (care nu are ca sursă un sistem propriu de administrare) trebuie inspectat. Mai mult decât atât, verificați traficul SNMP pentru a identifica adrese spoof-ate din propria rețea.

Verificați traficul către Internet care are ca sursă echipamentele de rețea, pentru a identifica trafic UDP TFTP. Corelarea între trafic către rețea de tip SNMP și dinspre aceasta de tip TFTP către Internet reprezintă un semnal de alarmă ce necesită o investigare mai amănunțită.

În Anexele A și B regăsiți șiruri de caractere specifice echipamentelor CISCO, dar și a altor producători.

Deoarece traficul TFTP este necriptat, acesta dezvăluie șiruri de caractere specifice, care ajută la identificarea echipamentului țintă. În Anexele A și B regăsiți șiruri de caractere specifice echipamentelor CISCO, dar și a altor producători.

SMI și TFTP

Verificați jurnalele digitale corespunzătoare și cele de netflow, pentru a identifica traficul SMI pe portul TCP 4786 către toate dispozitivele de rețea. Deoarece protocolul SMI este unul de administrare, orice trafic de acest tip (care nu are ca sursă un sistem propriu de administrare) trebuie inspectat.

De asemenea, verificați traficul UDP TFTP realizat de echipamentele de rețea către sisteme din Internet. Corelarea între trafic către rețea de tip SMI și dinspre aceasta de tip TFTP către Internet reprezintă un semnal de alarmă ce necesită o investigare mai amănunțită. Între 29 iunie și 06 iulie 2017 protocolul SMI a fost utilizat de atacatori pentru identificarea dispozitivelor vulnerabile de rețea. Astfel au fost identificate două sisteme (91.207.57.69 și 176.223.111.160) cu conexiuni pe portul 4786, către numeroase game de adrese IP.

În Anexa D regăsiți indicator de compromitere specifici protocolului SMI.

Deoarece traficul TFTP este necriptat, acesta dezvăluie șiruri de caractere specifice ce ajută la identificarea echipamentului țintă. În Anexele A și B regăsiți șiruri de caractere specifice echipamentelor CISCO, dar și a altor producători.

Pentru a verifica prezența protocolului SMI, urmați acești pași:

  • Examinați rezultatul comenzii:

show vstack config | inc Role

              Prezența șirului „Role: Client (SmartInstall enabled)” indică faptul că opțiunea Smart

Install este configurată.

  • Rulați comanda:

show tcp brief all

Dacă identificați șirul „*:4786”, SMI utilizează portul TCP 4786.

Comenzile mai sus enumerate indică doar utilizarea protocolului SMI, nu și dacă dispozitivul este compromis.

Pentru a detecta utilizarea protocolului SMI se poate utiliza următoarea semnătură:

alert tcp any any -> any 4786 (msg:"Smart Install Protocol"; flow:established,only_stream; content:"|00 00 00 01 00 00 00 01|"; offset:0; depth:8; fast_pattern;)

Pentru mai multe detalii consultați recomandările CISCO de detecție SMI [9].

Pentru a identifica utilizarea comenzilor SIET change_config, get_config, update_ios, și execute, se pot utiliza următoarele semnături:

 

alert tcp any any -> any 4786 (msg:"SmartInstallExploitationTool_UpdateIos_And_Execute"; flow:established; content:"|00 00 00 01 00 00 00 01 00 00 00 02 00 00 01 c4|"; offset:0; depth:16; fast_pattern; content:"://";)

 

alert tcp any any -> any 4786 (msg:"SmartInstallExploitationTool_ChangeConfig"; flow:established; content:"|00 00 00 01 00 00 00 01 00 00 00 03 00 00 01 28|"; offset:0; depth:16; fast_pattern; content:"://";)

 

alert tcp any any -> any 4786 (msg: "SmartInstallExploitationTool_GetConfig"; flow: established; content:"|00 00 00 01 00 00 00 01 00 00 00 08 00 00 04 08|"; offset:0; depth:16; fast_pattern; content:"copy|20|";)

 

Semnăturile prezentate mai sus au sursa și destinația setate ca any, pentru detectarea tuturor instanțelor, cu toate că, în general, atacurile de exploatare a instrumentelor SIET au loc din afara rețelei.

GRE

Verificați prezența traficului pe portul 47 dinspre/către stații neidentificate, sau prezența evenimentelor de creare, modificare sau distrugere a tunelelor de tip GRE în jurnalele digitale.

Remediere

Instrucțiuni generale

Următoarele măsuri de remediere sunt adresate ISP-urilor, proprietarilor, operatorilor și producătorilor de dispozitive de rețea:

  • Interziceți utilizarea protocoalelor necriptate de management pentru administrarea echipamentelor din Internet. Când utilizarea protocoalelor criptate (ex. SSH, HTTPS, TLS etc.) nu este posibilă, utilizați soluții VPN cu autentificare la ambele capete.
  • Interziceți accesul la interfețele de management ale echipamentelor de rețea din Internet. Recomandarea este să se acceseze interfețele de administrare doar dintr-un LAN intern de încredere. Și în acest caz se pot utiliza soluții VPN pentru accesarea controlată a interfețelor de administrare.
  • Dezactivați protocoalele învechite precum Telnet, SNMPv1 și v2c. Unde este posibil se recomandă utilizarea protocoalelor moderne (precum SSH și SNMPv3) și configurarea acestora conform ultimelor bune practici de securitate. Este recomandată, de asemenea, înlocuirea dispozitivelor de rețea învechite, care nu prezintă suport pentru protocolul SNMPv3.
  • Schimbarea parolelor implicite și impunerea unei politici de alegere/schimbare a datelor de autentificare. Este interzisă reutilizarea aceluiași set de date de autentificare la mai multe dispozitive. Unde este posibil, se recomandă implementarea metodelor de autentificare în doi pași sau cu chei publice.

Pentru IPS-iști (furnizori de servicii internet)

  • Interziceți instalarea de echipamente cu protocoale și servicii vechi, necriptate sau neautorizate în rețeaua sau în locația clientului. Atunci când achiziționați echipament de la furnizori, includeți această cerință în contractele de cumpărare.
  • Dezactivați protocoalele și serviciile necorespunzătoare, necriptate sau neautentificate. Utilizați protocoale moderne de management criptate, cum ar fi SSH. Încurajați protocoalele criptate pe baza celor mai bune practici de securitate, de la furnizor.
  • Inițiați un plan pentru a actualiza echipamentul de pe teren, care nu mai este suportat de furnizor cu actualizări de software și patch-uri de securitate. Cea mai bună practică este aceea de a include numai echipamentele acceptate și de a înlocui echipamentele vechi, înainte ca acestea să rămână fără suport.
  • Aplicați actualizări software și patch-uri de securitate echipamentelor de teren. Atunci când acest lucru nu este posibil, anunțați clienții despre existența lor și furnizați instrucțiuni în timp util, cu privire la modul de aplicare a acestora.

Utilizatori obișnuiți

  • Specificați în contracte că serviciul de furnizare a ISP-ului va include numai echipamente de rețea acceptate la momentul actual și va înlocui echipamentul, atunci când acesta se află într-o stare neacceptată.
  • Specificați în contracte că ISP-ul va aplica în mod regulat actualizări de software și patch-uri de securitate pentru echipamentul de rețea din teren, sau va notifica și le va oferi clienților posibilitatea de a le aplica.
  • Nu permiteți ca traficul TFTP să părăsească organizația destinată gazdelor bazate pe Internet. Dispozitivele de rețea ar trebui configurate astfel încât să trimită datele de configurare unei gazde securizate, pe un segment de încredere LAN, de administrare internă.
  • Verificați dacă firmware-ul și sistemul de operare de pe fiecare dispozitiv de rețea provin dintr-o sursă de încredere și sunt emise de producător. Pentru a valida integritatea dispozitivelor de rețea, consultați instrucțiunile, instrumentele și procesele furnizorului. CISCO vă oferă un ghid pentru acest lucru.
  • Sistemul de operare CISCO rulează într-o varietate de dispozitive de rețea, sub alte etichete, cum ar fi routerele Linksys și SOHO Internet Gateway sau firewall-uri - ca parte a unui pachet de Internet furnizat de către ISP-uri (de exemplu, Comcast).

Datele specificate de alertă pentru anexele A-D se regăsesc în alerta emisă de US-CERT.

Referințe

[1] The Increasing Threat to Network Infrastructure Devices and Recommended Mitigations. DHS. AR-16-20173. August 30, 2016.

[2] Cisco Smart Install Protocol Issues. CERT-EU. Advisory 2017-003. February 22, 2017.(link is external)

[3] Internet Edge Device Security. United Kingdom. National Cyber Security Centre. May 12, 2017.

[4] UK Internet Edge Router Devices: Advisory. United Kingdom. National Cyber Security Centre. August 11, 2017.

[5] Routers Targeted. Australian Cyber Security Centre. August 16, 2017.

[6] Cisco Smart Install Protocol Misuse. Cisco. February 14, 2017. Updated October 30, 2017.(link is external)

[7] Routers Targeted. Australian Cyber Security Centre. August 16, 2017.

[8] Cisco Smart Install Protocol Misuse. NSA, IAD. August 7, 2017.

[9] Cisco Smart Install Protocol Misuse. Cisco. February 14, 2017. Updated October 30, 2017.(link is external)

[10] Cisco Smart Install Protocol Misuse. Cisco. February 14, 2017. Updated October 30, 2017.(link is external)

[11] NIST CSRC.

[12] US-CERT. Report Phishing.

[13] CNSSI 4009-2015.

[14] https://www.us-cert.gov/sites/default/files/publications/TA18-106A_TLP_WHITE.stix.xml

[15] https://www.us-cert.gov/ncas/alerts/TA13-175A