美英警告：俄駭客組織在 Cisco 路由器部署Jaguar Tooth惡意軟體

近日，美國、英國和思科警告由俄羅斯政府資助的 APT28 駭客在 Cisco IOS 路由器上部署名為Jaguar Tooth的惡意軟體，允許未經身份驗證的設備存取。
 
APT28，也稱為 Fancy Bear、STRONTIUM、Sednit 和 Sofacy，是一個俄羅斯的國家資助駭客組織。APT28經常在歐美進行攻擊，並且以濫用零日漏洞進行網路間諜活動而聞名。
 
在英國國家網路安全中心 (NCSC)、美國網路安全和基礎設施安全局 (CISA)、美國國家安全局和聯邦調查局發佈的一份聯合報告詳細介紹了 APT28 駭客如何利用Cisco IOS路由器上的舊SNMP 漏洞部署名為Jaguar Tooth的訂製惡意軟體。

量身訂製的Cisco IOS 路由器惡意軟體

Jaguar Tooth 是一種惡意軟體，直接被注入到運行較舊韌體版本Cisco 路由器的記憶體中。安裝後，惡意軟體會從路由器中洩露資訊，並可開啟對設備的未經身份驗證的後門存取。

英國NCSC公開警告，Jaguar Tooth是一種非持久性惡意軟體，主要執行於C5350-ISM韌體版本12.3(6)的 Cisco IOS 路由器。Jaguar Tooth可收集設備資訊，利用TFTP 洩露這些資訊，並啟用未經身份驗證的後門存取。據觀察，它是透過利用已修補的 SNMP 漏洞 CVE-2017-6742 進行部署和執行。

為了安裝惡意軟體，威脅參與者使用弱 SNMP 社群字串掃描公共 Cisco 路由器。SNMP 社群字串就像憑證，允許知道配置字串的任何人查詢設備上的 SNMP 資料。

如果發現有效的 SNMP 社群字串，威脅參與者就會利用2017年6月修復的CVE-2017-6742 SNMP 漏洞。此漏洞是一個未經身份驗證的遠端程式碼執行漏洞。一旦攻擊者訪問Cisco路由器，他們就會修補其記憶體以安裝訂製的非持久性Jaguar Tooth惡意軟體。

英國NCSC解釋，當透過Telnet或實體連接未修補的Cisco路由器時，將授予對現有本地帳戶的存取權限，而無需檢查密碼。

所有Cisco管理員都應該將他們的路由器升級到最新的韌體以減輕這些攻擊威脅。Cisco建議在公共路由器上從 SNMP切換到 NETCONF/RESTCONF 以進行遠端系統管理，因為它提供更強大的安全性和功能。

如果需SNMP，管理員應配置允許和拒絕清單以限制誰可以存取公開路由器上的SNMP 介面，並且社群字串應更改為夠強的隨機字串。

CISA 還建議在 Cisco 路由器上禁用 SNMP v2 或 Telnet，因為這些協議可能允許從未加密的流量中竊取憑證。

最後，如果懷疑某台設備遭到入侵，CISA 建議應使用 Cisco 的措施來驗證 IOS 映射的完整性，撤銷與該設備關聯的所有金鑰，不要重複使用舊金鑰，並使用直接來自 Cisco 的映射替換映射。