Глобальные агентства безопасности заявляют, что предприятиям необходимо навести порядок, поскольку поддерживаемые правительством России злоумышленники эксплуатируют уязвимости в маршрутизаторах.
Согласно новой многонациональной консультации по кибербезопасности, кибератакующие продолжают использовать недостаточно защищённые или плохо настроенные сетевые устройства с помощью давно известных тактик. Угрозы сканируют ослабленные устройства, как правило маршрутизаторы, что позволяет им «оппортунистически» компрометировать сети критической инфраструктуры, говорится в бюллетене 19 федеральных агентств из Северной Америки, Великобритании, Европы и Австралии.
Затем они передают файлы конфигурации на контролируемые ими серверы. Эти файлы, содержащие незашифрованную или слабозакодированную информацию, такую как учётные данные или данные о сети организации, представляют наибольшую потенциальную ценность, отметил Сева Иоуссуфович, старший аналитик-исследователь Info-Tech Research Group.
«Это может звучать просто, но эта тактика эксплуатируется уже более десяти лет и явно всё ещё эффективна», — сказал он.
Как работают атаки через SNMP
Для начала атаки спонсируемые государством киберпреступники отправляют запросы через стандартный протокол Simple Network Management Protocol (SNMP), который поддерживает обмен информацией между устройством и сетью, что позволяет им сканировать слабые, незащищённые устройства, всё ещё использующие старые протоколы SNMPv1 или SNMPv2, принимающие общие или стандартные «community strings» для аутентификации. Эти строки обычно представляют собой общие пароли с предсказуемыми публичными значениями по умолчанию, которые могли остаться нетронутыми администраторами. Кроме того, многие из этих устройств могут оставаться в базовой конфигурации маршрутизатора.
Используя поддельные IP-адреса, злоумышленники дают указание SNMP-агентам, работающим на этих устройствах, скопировать их конфигурации в файл (обычно config.bkp или output.txt), а затем передать этот файл на виртуальные частные серверы (VPS), которые они контролируют. Кроме того, киберпреступники эксплуатируют распространённые уязвимости и подверженности (CVE) в устройствах Cisco, а также в инструменте Smart Install (SMI) от Cisco.
Как минимум, злоумышленники использовали CVE-2018-0171 (опубликована в 2018 году) и CVE-2008-4128 (опубликована в 2008 году), согласно бюллетеню. Обе эти уязвимости нацелены на маршрутизаторы Cisco, предоставляя удалённым неаутентифицированным атакующим возможность выполнять произвольный код, совершать несанкционированные действия или вызывать отказ в обслуживании (DoS).
Известные группы, использующие этот метод, известны сообществу по безопасности как «Berserk Bear», «Crouching Yeti», «Dragonfly», «Energetic Bear», «Ghost Blizzard» и «Static Tundra». Согласно бюллетеню, наиболее уязвимыми для российских государственных киберсубъектов отраслями являются связь, энергетика, финансовые услуги, оборонная промышленность, здравоохранение и государственные учреждения.
Подход «настроил и забыл», даже в 2026 году
Проблема с гигиеной маршрутизаторов в том, что устройства подвержены «совокупности типичных корпоративных недостатков» в части операционализации безопасности, отметил Иоуссуфович из Info-Tech.
«Многие организации по-прежнему придерживаются подхода „настроил и забыл” к маршрутизаторам и не следят за ними так, как следили бы за конечной точкой», — сказал он.
Усугубляет этот риск тот факт, что маршрутизаторы, как правило, критически важны для непрерывности бизнеса, что повышает необходимость поддержания их безопасности в актуальном состоянии. Более того, в некоторых случаях может быть неясно, кто отвечает за безопасность устройств. «Специалисты по безопасности указывают на сетевую команду, а те указывают обратно на безопасность», — отметил Иоуссуфович.
Кроме того, многие организации продолжают полагаться на устаревшее оборудование, которое может не поддерживаться, но бизнес не желает его заменять.
В конечном счёте, по словам Иоуссуфовича, «сетевая безопасность, похоже, не получает столько же внимания, сколько обычные области фокуса (например, конечные точки)».
Рекомендация: немедленно отказаться от старых протоколов и устройств
В частности, агентства призвали команды безопасности и сетевых администраторов обновиться до SNMPv3, внедрить надёжные пароли, отключить Cisco Smart Install и заблокировать SNMP и распространённые методы передачи файлов «на межсетевом экране».
Предприятия должны немедленно отключить SNMPv1 и SNMPv2, которые являются «устаревшими протоколами и больше не должны требоваться на современных устройствах». В случаях, когда они всё ещё считаются необходимыми, следует перейти от настроек по умолчанию к предоставлению только чтения (без доступа на чтение и запись).
SNMPv3 следует использовать с опцией authPriv, настроенной на «самый современный стандарт шифрования», советует бюллетень. SNMPv3 добавляет строгую аутентификацию и шифрование данных, недоступные в предыдущих версиях, и имеет более безопасно закодированные параметры для аутентификации и шифрования данных.
«Переход на SNMPv3, который предлагает более сильную аутентификацию и шифрование, — это чёткий, действенный шаг, который командам безопасности необходимо расставить по приоритетам прямо сейчас», — согласился Иоуссуфович.
Государственные агентства призвали предприятия использовать надёжные уникальные пароли для локальных учётных записей на сетевых устройствах, а также отслеживать необычные учётные данные, не соответствующие стандартным соглашениям об именовании, или неправильные конфигурации в журналах или системах обнаружения вторжений (IDS). Сети должны поддерживать многофакторную аутентификацию (MFA), а администраторам следует применять списки разрешений для протоколов управления, таких как SNMP.
Кроме того, предприятиям необходимо обновлять программное обеспечение сетевых устройств, выводить из эксплуатации устаревшие устройства и отключать Cisco Smart Install на всех машинах после завершения первоначальной настройки, так как это создаёт серьёзные проблемы безопасности, если он случайно остаётся включённым, заявили агентства.
Безопасность сети необходимо улучшать повсеместно
Предупреждение — это сигнал о том, что предприятия, возможно, недоинвестируют в сетевую безопасность, отметил Иоуссуфович. Администраторам и руководителям по безопасности следует задавать следующие вопросы:
- Есть ли у них достойные возможности обнаружения и реагирования на сети?
- Применяют ли они аналитику и обнаружение аномалий к шаблонам сетевого трафика?
- Внедрили ли они микросегментацию в корпоративной среде, чтобы ограничить риски, связанные с отдельным маршрутизатором?
«Внедрение хотя бы некоторых из этих упреждающих мер при более дисциплинированном подходе к отслеживанию и замене устройств с истекшим сроком службы может помочь командам безопасности и сетей наконец начать добиваться прогресса в борьбе с такими угрозами», — сказал Иоуссуфович.
Дэвид Шипли из Beauceron Security согласился, что безопасность корпоративного сетевого оборудования должна быть улучшена, но отметил, что это скорее ответственность вендоров, а не поставщиков критической инфраструктуры. Вендоры должны поставлять продукты, которые безопасны по умолчанию; клиентам не придётся возвращаться и включать эти функции.
Он добавил, что было бы отлично увидеть уровень безопасности устройств и аутентификации, устойчивый к Salt Typhoon. «Сейчас им было тривиально взломать сетевое оборудование», — сказал он.
Хотя рекомендации важны и помогут, по словам Шипли, «создавать лучшее и поставлять безопасное по умолчанию сделало бы ещё больше».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Taryn Plumb




