- NSA、FBI、CISAと同盟15機関が、ロシアFSBのCenter 16が脆弱・デフォルトの認証情報とCiscoの旧型欠陥を悪用して重要インフラのデバイスを侵害していると警告
- 勧告ではCVE-2018-0171(Smart InstallのDoS/RCE)とCVE-2008-412813(Cisco IOS 12.4のCSRF)を、依然として悪用されている脆弱性の例として挙げている
- TTP(戦術・技術・手順)は中国系グループと重複するものの、攻撃の帰属はBerserk BearやEnergetic Bearといったロシア系脅威アクターを指しており、詳細な侵害指標(IoC)と対策は共同勧告で公開済み
ロシア政府系の脅威アクターが、世界中の重要インフラ事業者が保有する故障または設定不備のネットワーク機器を継続的に標的にしていることが、米国家安全保障局(NSA)と10以上の他機関が発表した共同セキュリティ勧告で明らかになりました。
この勧告によると、ロシア連邦保安庁(FSB)のCenter 16に所属するハッカーたちは、「一般的またはデフォルトの」ログイン認証情報でアクセスできるルーターやその他のインターネット接続機器を常時スキャンしています。
対象デバイスを発見すると、機器の設定ファイルをコピーするよう指示を出し、その後、Trivial File Transfer Protocol(TFTP)を使って自分たちが管理するサーバーへとファイルを持ち出します。
Berserk BearとSalt Typhoon
デフォルトまたは脆弱な認証情報が通用しない場合、脅威アクターは脆弱性の悪用も試みます。勧告の中で各機関は、Cisco製デバイスにおける2つの欠陥、CVE-2018-0171とCVE-2008-412813を具体的に挙げています。前者は、Cisco IOS SoftwareおよびCisco IOS XE SoftwareのSmart Install機能に存在する8年前のバグで、未認証のリモート攻撃者にサービス拒否(DoS)状態を引き起こす、あるいは任意のコードを実行することを許してしまいます。
後者はさらに古く、18年前に発見された脆弱性で、871 Integrated Services Router上のCisco IOS 12.4に存在するHTTP Administrationコンポーネントの複数のクロスサイトリクエストフォージェリ(CSRF)脆弱性群であり、リモート攻撃者による任意のコマンド実行を可能にします。
これらの戦術・技術・手順(TTP)の多くは中国系ハッカーグループSalt Typhoonと重複していますが、各機関はBerserk Bear、Energetic Bear、Crouching Yeti、Dragonfly、Ghost Blizzard、Static Tundraとして知られるロシア系ハッカーを主な焦点としていることを示唆しています。
この共同勧告は、NSA、FBI、CISAに加え、オーストラリア、英国、カナダ、ニュージーランド、エストニア、フィンランド、フランス、イタリアの15機関が共著者として名を連ねています。