思科(Cisco)近日證實中國駭客組織「鹽颱風 (Salt Typhoon)」 透過濫用 CVE-2018-0171 漏洞,並取得合法受害者登入憑證,成功入侵美國主要電信公司的網路系統。據思科 Talos 情報團隊表示,這個駭客組織展現出高度的專業性和充足的資金支持,能夠在多個供應商的設備中持續維持存取權限,其中一個案例更長達三年以上。
根據調查,Salt Typhoon 採用了多種進階持續性威脅(APT)和國家級駭客的典型手法,包括高度協調、縝密規劃和耐心等特徵。
值得注意的是,思科否認了先前 Recorded Future 報告中提到的 CVE-2023-20198 和 CVE-2023-20273 漏洞被利用的說法。
CVE-2018-0171 是一個嚴重等級為 9.8(CVSS v3.0)的遠端程式碼執行漏洞,影響思科 IOS 和 IOS XE 軟體中的Smart Install功能。攻擊者可以透過發送特製的 Smart Install 訊息到目標設備的 TCP 埠 4786,觸發緩衝區溢位漏洞,進而在設備上執行任意程式碼。
駭客組織的主要入侵手法包括:
- 使用被竊取的有效憑證進行初始入侵
- 通過網路設備配置獲取憑證
- 破解使用弱密碼的本地帳戶
- 捕獲 SNMP、TACACS 和 RADIUS 流量以獲取更多憑證
為了實現橫向移動,攻擊者部署了自製的 JumbledPath 工具進行遠端封包捕獲。該工具能夠修改交換機迴環介面(Loopback Interface)地址以繞過 ACL,同時利用 SNMP(Simple Network Management Protocol)流量分析、截取 TACACS(Terminal Access Controller Access-Control System)認證資訊,以及攔截 RADIUS(Remote Authentication Dial-In User Service)驗證流量。
這個以 Go 語言編寫的 ELF 二進位檔案具有清除日誌和禁用日誌記錄的功能,可有效掩蓋惡意活動的痕跡。
思科表示,駭客還通過修改被入侵交換機的迴環介面地址,並將其用作 SSH 連接的來源,以此繞過目標設備上的存取控制清單(ACL)。此外,公司還發現了其他針對暴露 Smart Install(SMI)的思科設備的廣泛攻擊,這些攻擊雖然也利用了 CVE-2018-0171 漏洞,但與 Salt Typhoon 無關。
這次事件凸顯了及時修補已知漏洞的重要性,即使是較舊的漏洞也可能被利用來進行複雜的網路攻擊。思科建議企業應該定期更新設備韌體,加強帳戶安全管理,並密切監控網路流量異常。
延伸閱讀:聯合情資示警:中國政府支持的網路間諜行動鎖定各國電信網路
本文轉載自thehackernews。