Un grupo cibernético de espionaje patrocinado por el estado ruso conocido como Tundra estática se ha observado explotar activamente un defecto de seguridad de siete años en el software Cisco IOS y Cisco IOS XE como un medio para establecer un acceso persistente a las redes de destino.
Cisco Talos, que reveló detalles de la actividad, dijo que los ataques organizaciones de telecomunicaciones, educación superior y sectores de fabricación en América del Norte, Asia, África y Europa. Las posibles víctimas son elegidas en función de su «interés estratégico» a Rusia, agregó, con los recientes esfuerzos dirigidos contra Ucrania y sus aliados después de la aparición de la guerra ruso-ukraniana en 2022.
La vulnerabilidad en cuestión es CVE-2018-0171 (puntaje CVSS: 9.8), una falla crítica en la función de instalación inteligente del software Cisco IOS y el software Cisco IOS XE que podría permitir un atacante remoto no autorizado para desencadenar una condición de negación de servicio (DOS) o un código arbitrario.
Vale la pena señalar que el defecto de seguridad también ha sido armado por los actores de Salt Typhoon (también conocido como Operator Panda) alineado con los proveedores de telecomunicaciones estadounidenses a fines de 2024.
Se evalúa que la Tundra estática, per Talos, está vinculada al Centro 16 de la Servicio de Seguridad Federal (FSB) y operativo durante más de una década, con un enfoque en las operaciones de recopilación de inteligencia a largo plazo. Se cree que es un subgrado de otro grupo que se rastreó como Berserk Bear, Blue Kraken, Crouching Yeti, Dragonfly, Enérgico Bear, Ghost Blizzard (anteriormente Bromo) y Havex.
La Oficina Federal de Investigación de los Estados Unidos (FBI), en un asesoramiento concurrente, dijo que ha observado que los actores cibernéticos de FSB «explotan el protocolo simple de gestión de redes (SNMP) y los dispositivos de redes de fin de vida al final de la vida que ejecutan una vulnerabilidad no ecológica (CVE-2018-0171) en CISCO Smart Install (SMI) para ampliar los entidades en los entidades en los Estados Unidos y los Estados Unidos y».
En estos ataques observados durante el año pasado, se ha encontrado que los actores de amenaza recopilan archivos de configuración para miles de dispositivos de redes asociados con entidades estadounidenses en sectores de infraestructura crítica. La actividad también se caracteriza por los atacantes que modifican los archivos de configuración en dispositivos susceptibles para facilitar el acceso no autorizado.
El punto de apoyo se abusa de realizar un reconocimiento dentro de las redes de víctimas, al tiempo que implementa simultáneamente herramientas personalizadas como Synfle Knock, un implante de enrutador informado por primera vez por Mandiant en septiembre de 2015.
«Synful Knock es una modificación sigilosa de la imagen de firmware del enrutador que puede usarse para mantener la persistencia dentro de la red de una víctima», dijo la firma de inteligencia de amenazas en ese momento. «Es personalizable y de naturaleza modular y, por lo tanto, se puede actualizar una vez implantado».
Otro aspecto notable de los ataques se refiere al uso de SNMP para enviar instrucciones para descargar un archivo de texto de un servidor remoto y agregarlo a la configuración de ejecución actual para permitir medios adicionales de acceso a los dispositivos de red. La evasión de defensa se logra modificando la configuración de TACACS+ en aparatos infectados para interferir con las funciones de registro remoto.
«La tundra estática probablemente utiliza datos de escaneo disponibles públicamente de servicios como Shodan o Censys para identificar sistemas de interés», dijeron los investigadores de Talos Sara McBroom y Brandon White. «Una de las acciones principales de la Tundra estática sobre los objetivos es capturar el tráfico de red que sería valioso desde una perspectiva de inteligencia».
Esto se logra estableciendo túneles de encapsulación de enrutamiento genérico (GRE) que redirigen el tráfico de interés a la infraestructura controlada por los atacantes. El adversario también ha sido visto recopilando y exfiltrando datos de NetFlow en sistemas comprometidos. Los datos cosechados se exfiltran a través de conexiones TFTP o FTP salientes.
Las actividades de Tundra estática se centran principalmente en dispositivos de red no parpados, y a menudo al final de la vida, con el objetivo de establecer acceso en objetivos primarios y facilitar las operaciones secundarias contra objetivos relacionados de interés. Al obtener el acceso inicial, los actores de amenaza excavan el entorno y piratean dispositivos de red adicionales para el acceso a largo plazo y la recopilación de información.
Para mitigar el riesgo planteado por la amenaza, Cisco aconseja a los clientes que apliquen el parche para CVE-2018-0171 o deshabiliten la instalación inteligente si el parche no es una opción.
«El propósito de esta campaña es comprometer y extraer información de configuración del dispositivo en masa, que luego puede aprovecharse según sea necesario en función de los objetivos e intereses estratégicos en la entonces corriente del gobierno ruso», dijo Talos. «Esto se demuestra por la adaptación de la Tundra estática y los cambios en el enfoque operativo, ya que las prioridades de Rusia han cambiado con el tiempo».
Actualizar
Cisco también ha actualizado su aviso para CVE-2018-0171, advertencia de explotación continua de la vulnerabilidad e instando a los clientes a aplicar las soluciones necesarias lo antes posible.
«Cisco es consciente de la actividad continua de explotación de la vulnerabilidad que se describe en este aviso y recomienda encarecidamente que los clientes evalúen sus sistemas y se actualicen a una versión de software fija lo antes posible», dijo la compañía.