Cisco bestätigt, dass Salt Typhoon CVE-2018-0171 ausnutzte, um US-Telekommunikationsnetze anzugreifen

Von Mura in Computersicherheit

Übersetzen Sie in:

Cisco hat offiziell bestätigt, dass der vom chinesischen Staat gesponserte Bedrohungsakteur Salt Typhoon erfolgreich in US-Telekommunikationsnetze eingedrungen ist, indem er eine bekannte Sicherheitslücke (CVE-2018-0171) ausnutzte. Diese Sicherheitslücke, kombiniert mit der Verwendung gestohlener Anmeldeinformationen, ermöglichte es den Angreifern, sich langfristigen Zugriff auf kompromittierte Umgebungen zu sichern. In einem Fall dauerte der Zugriff sogar mehr als drei Jahre.

Laut Cisco Talos weisen die Operationen von Salt Typhoon ein hohes Maß an Raffinesse, Koordination und Geduld auf – typische Merkmale von Advanced Persistent Threat (APT)-Gruppen. Die Kampagne unterstreicht die anhaltenden Risiken, die von staatlichen Akteuren ausgehen, die strategisch kritische Infrastrukturen infiltrieren, um tiefe und dauerhafte Stellungen zu errichten.

Inhaltsverzeichnis

Eine langfristige, hoch koordinierte Cyber-Spionage-Kampagne

Die Fähigkeit von Salt Typhoon, jahrelang unentdeckt zu bleiben, unterstreicht die ausgefeilten Taktiken der Gruppe. Ihre Persistenz auf Geräten mehrerer Hersteller lässt auf eine sorgfältige Planung und eine gut finanzierte Operation schließen. Anders als opportunistische Cyberkriminelle, die Schwachstellen für sofortigen Gewinn ausnutzen, zielen staatlich geförderte Akteure wie Salt Typhoon oft auf einen dauerhaften Zugriff ab, der es ihnen ermöglicht, Informationen zu sammeln, Operationen zu stören oder sich auf zukünftige Cyberangriffe vorzubereiten.

Während frühere Berichte darauf hindeuteten, dass Salt Typhoon auch neuere Schwachstellen wie CVE-2023-20198 und CVE-2023-20273 ausnutzte, hat Cisco keine Beweise dafür gefunden. Stattdessen bleibt die primäre Ausnutzungsmethode CVE-2018-0171, ein Fehler im Smart Install (SMI)-Protokoll von Cisco, kombiniert mit dem Diebstahl von Anmeldeinformationen.

Gestohlene Zugangsdaten: Der Schlüssel zum Erstzugriff

Ein wesentlicher Aspekt dieser Kampagne ist die Verwendung gültiger, gestohlener Anmeldeinformationen, um Zugriff auf Netzwerkgeräte zu erhalten. Die genaue Methode, mit der Salt Typhoon diese Anmeldeinformationen erlangte, ist noch unklar, aber es gibt Hinweise darauf, dass sie aktiv nach gespeicherten Anmeldedaten in kompromittierten Systemen suchten. Sie überwachten auch den Netzwerkverkehr, um Authentifizierungsdaten abzufangen, und zielten dabei speziell auf die Protokolle SNMP, TACACS und RADIUS ab, um geheime Schlüssel und andere Anmeldeinformationen zu extrahieren.

Sobald Salt Typhoon in ein Netzwerk eingedrungen war, nutzte er verschiedene Techniken, um seine Reichweite zu erweitern und einen längeren Zugriff zu gewährleisten. Dazu gehörten die Änderung der Netzwerkgerätekonfigurationen, das Erstellen nicht autorisierter lokaler Konten, das Aktivieren des Gast-Shell-Zugriffs und das Einrichten eines dauerhaften SSH-Zugriffs.

Living-off-the-Land-Techniken und Netzwerk-Pivoting

Salt Typhoon nutzte Living-off-the-land-Techniken (LOTL), bei denen legitime Systemtools und Infrastrukturen missbraucht werden, um nicht entdeckt zu werden. Indem sie kompromittierte Netzwerkgeräte als Drehpunkte nutzten, konnten sie von einem Telekommunikationsnetzwerk zum anderen springen und dabei unentdeckt bleiben. Diese kompromittierten Geräte dienten wahrscheinlich als Zwischenrelais und halfen den Angreifern, sich entweder seitlich zu ihren endgültigen Zielen zu bewegen oder ausgehende Datenexfiltrationsrouten einzurichten.

Um der Entdeckung noch besser zu entgehen, manipulierte Salt Typhoon Netzwerkkonfigurationen, indem es die Loopback-Schnittstellenadressen auf kompromittierten Switches änderte. Dadurch konnten sie SSH-Verbindungen herstellen, die Zugriffskontrolllisten (ACLs) umgingen und uneingeschränkte Bewegungsfreiheit innerhalb der Zielumgebung ermöglichten.

JumbledPath: Ein benutzerdefiniertes Tool für verdeckte Operationen

Eine der besorgniserregendsten Entdeckungen ist die Verwendung eines maßgeschneiderten Tools namens JumbledPath durch Salt Typhoon, das speziell für die heimliche Infiltration von Netzwerken entwickelt wurde. Diese Go-basierte ELF-Binärdatei ermöglicht es Angreifern, über einen vom Akteur gesteuerten Jump-Host Paketerfassungen auf entfernten Cisco-Geräten auszuführen. Das Tool kann auch Systemprotokolle löschen und die Protokollierung vollständig deaktivieren, was die forensische Analyse erheblich erschwert.

Regelmäßige Versuche, Protokolle zu löschen, verringern die Transparenz ihrer Aktivitäten noch weiter. Salt Typhoon wurde dabei beobachtet, wie es kritische Protokolle löschte, darunter .bash_history, auth.log, lastlog, wtmp und btmp, um seine Spuren zu verwischen und sicherzustellen, dass seine Aktivitäten über längere Zeiträume unentdeckt blieben.

Laufende Ausnutzung von Cisco-Geräten

Neben den Aktivitäten von Salt Typhoon hat Cisco auch festgestellt, dass seine Geräte mit exponierten Smart Install (SMI)-Funktionen gezielt angegriffen werden, was zur fortgesetzten Ausnutzung von CVE-2018-0171 führt. Cisco stellte jedoch klar, dass diese Aktivität nicht mit Salt Typhoon in Verbindung steht und keiner bekannten Bedrohungsgruppe zugeordnet zu sein scheint.

Wie sich Unternehmen gegen diese Angriffe schützen können

Angesichts der anhaltenden Aktivität von Salt Typhoon müssen Unternehmen – insbesondere im Telekommunikationsbereich – proaktive Maßnahmen ergreifen, um ihre Netzwerke zu sichern. Zu den empfohlenen Abwehrmaßnahmen gehören:

Deaktivieren von Smart Install (SMI): Wenn SMI nicht benötigt wird, sollte es deaktiviert werden, um das Risiko einer Ausnutzung zu verringern.
Erzwingen der Multi-Faktor-Authentifizierung (MFA): Gestohlene Anmeldeinformationen sind weniger effektiv, wenn zur Authentifizierung eine MFA erforderlich ist.

Regelmäßiges Aktualisieren der Firmware und Patchen von Sicherheitslücken: CVE-2018-0171 ist seit Jahren bekannt, dennoch wird es von Angreifern aufgrund ungepatchter Systeme weiterhin ausgenutzt.

Überwachung des Netzwerkverkehrs auf Anomalien: Organisationen sollten Authentifizierungsanforderungen, ungewöhnliche SSH-Aktivitäten und unerwartete Konfigurationsänderungen genau überwachen.

Implementierung strenger Zugriffskontrollrichtlinien: Durch die Beschränkung des Zugriffs auf kritische Infrastrukturen können Sie die Möglichkeiten eines Angreifers einschränken, sich innerhalb des Netzwerks seitlich zu bewegen.

Die erfolgreiche Infiltration von US-Telekommunikationsnetzen durch Salt Typhoon unterstreicht die Bedeutung von Wachsamkeit in der Cybersicherheit. Ihre Fähigkeit, eine jahrelange Schwachstelle auszunutzen, Anmeldeinformationen zu stehlen und über längere Zeiträume unentdeckt zu bleiben, zeigt die sich entwickelnde Bedrohungslandschaft. Unternehmen müssen proaktive Verteidigungsstrategien priorisieren, darunter robustes Patchmanagement, Netzwerküberwachung und strenge Zugriffskontrollen, um die Risiken durch staatlich geförderte Cyberbedrohungen zu mindern.

Der Insolvenzantrag des Zahlungsabwicklers Digital River GmbH von EnigmaSoft hat keine Auswirkungen auf den Anti-Malware-Schutz der SpyHunter-Kunden

Suche

Region ändern