El Computer Emergency Readiness Team (CERT) de Estados Unidos conjuntamente con el Centro de Ciberseguridad Nacional del Reino Unido NCSC y el FBI alertan que han intentado tomar el control de varias infraestructuras de red (routers, switches y firewalls). En el comunicado denuncian que Rusia está detrás de los ataques sistemáticos que persiguen hacerse con el control de dispositivos de red como los routers domésticos que proporcionan los proveedores de internet. El motivo no es otro que el espionaje.

• Parece que el objetivo es interceptar el tráfico para espionaje tratando de no afectar al funcionamiento. 
• "Quien controla la infraestructura de enrutamiento de una red esencialmente controla los datos que fluyen a través de la red", advierten

En la declaración de las agencias de inteligencia de Estados Unidos y Reino Unido en la que alertan que hackers rusos apoyados por el gobierno están atacando operadores y routers a nivel mundial para robar datos personales.

Para ello se intenta explotar vulnerabilidades antiguas aprovechando que muchos de estos equipos no han sido debidamente actualizados, utilizando principalmente acceso telnet, HTTP, SNMP y SMI. El comunicado relata 4 pasos que se siguen en los ataques, empezando con la identificación del equipo y software mediante escaneo de puertos y terminando si es factible con la actualización del firmware con backdoor incluido. El objetivo es interceptar el tráfico para espionaje tratando de no afectar al funcionamiento.

La reciente y grave vulnerabilidad RCE de routers y switches Cisco IOS con  Smart Install Client no está ayudando nada. Desde que Embedi publicó los detalles técnicos y el código de prueba de concepto (PoC) para la explotación de la vulnerabilidad CVE-2018-0171, el riesgo de ataques aumentó drásticamente.

Sistemas Afectados 

Routers, switches, firewalls y otro equipamiento de red

• Generic Routing Encapsulation (GRE) Enabled Devices
• Cisco Smart Install (SMI) Enabled Devices
• Simple Network Management Protocol (SNMP) Enabled Network Devices

Las vulnerabilidades aprovechadas por los hackers rusos pasan por:

• Dispositivos con protocolos desactualizados sin cifrar o servicios sin autenticación
• Dispositivos que no se han asegurado lo suficiente antes de su instalación
• Dispositivos que ya no reciben parches de seguridad por parte del fabricante o vendedor, es decir, fuera de su ciclo de vida

También han aprovechado dispositivos con contraseñas por defecto afectando a operadores y usuarios domésticos.


Protocolos heredados y mala práctica de seguridad

Los actores cibernéticos rusos aprovechan una serie de protocolos antiguos o débiles y puertos de servicio asociados con las actividades de administración de red. Los actores cibernéticos usan estas debilidades para

•   identificar dispositivos vulnerables;
•   extraer configuraciones de dispositivos;
•     mapear arquitecturas de red internas;
•     cosechar credenciales de inicio de sesión;
•     hacerse pasar por usuarios privilegiados;
•     modificar
•         firmware del dispositivo,
•         sistemas operativos,
•         configuraciones; y
•     copiar o redireccionar el tráfico de víctimas a través de la infraestructura controlada por ciber-actores rusos. 

 Los protocolos dirigidos en este escaneo incluyen

•     Telnet (típicamente el puerto 23 del Protocolo de control de transmisión (TCP), pero el tráfico puede dirigirse a una amplia gama de puertos TCP como 80, 8080, etc.),
•     Protocolo de transporte de hipertexto (HTTP, puerto 80),
•     Protocolo de administración de red simple (SNMP, puertos 161/162) y
•     Instalación inteligente de Cisco (puerto SMI 4786).

Mitigaciones generales

•     No permita que los protocolos de administración no encriptados (es decir, texto sin formato) (p. Ej., Telnet) ingresen a una organización desde Internet. Cuando los protocolos encriptados como SSH, HTTPS o TLS no son posibles, las actividades de gestión desde fuera de la organización deben realizarse a través de una red privada virtual encriptada (VPN) donde ambos extremos se autentican mutuamente.
•     No permita el acceso a Internet a la interfaz de administración de ningún dispositivo de red. La mejor práctica es bloquear el acceso de origen de Internet a la interfaz de administración de dispositivos y restringir la administración de dispositivos a un host interno o una lista blanca o LAN. Si el acceso a la interfaz de administración no puede restringirse a una red confiable interna, restrinja el acceso a la administración remota a través de la capacidad VPN cifrada, donde ambos extremos se autentican mutuamente. Incluya en la lista blanca la red o el host desde el que se permite la conexión VPN, y rechace todos los demás.
•     Deshabilite los protocolos no encriptados heredados como Telnet y SNMPv1 o v2c. Donde sea posible, use protocolos encriptados modernos como SSH y SNMPv3. Endurezca los protocolos cifrados según las mejores prácticas de seguridad actuales. DHS recomienda encarecidamente a los propietarios y operadores que retiren y reemplacen los dispositivos heredados que no se pueden configurar para usar SNMP V3.
•     Cambie de inmediato las contraseñas predeterminadas y aplique una política de contraseñas segura. No reutilice la misma contraseña en varios dispositivos. Cada dispositivo debe tener una contraseña única. Donde sea posible, evite la autenticación heredada basada en contraseñas e implemente la autenticación de dos factores basada en claves públicas y privadas. Consulte NCCIC / US-CERT TA13-175A - Riesgos de contraseñas predeterminadas en Internet , revisada por última vez el 7 de octubre de 2016.

Ejemplos:

Un bot que caza a Cisco

 Desde la semana pasada, un nuevo grupo de piratas informáticos llamado ” JHT ” secuestró una cantidad significativa de dispositivos de Cisco pertenecientes a organizaciones en Rusia e Irán, y dejó un mensaje que decía: ” No te metas con nuestras elecciones ” con una bandera estadounidense ( en arte ASCII).

El ataque parece estar sucediendo de la siguiente manera. Un actor de amenazas desconocido está explotando una vulnerabilidad en un software llamado Cisco Smart Install Client, que les permite ejecutar código arbitrario en los switches vulnerables. Los malefactores luego reescriben la imagen de Cisco IOS en los conmutadores y cambian el archivo de configuración, dejando un mensaje que dice "No se meta con nuestras elecciones"




Fuentes:
https://bandaancha.eu/foros/fbi-dice-rusia-quiere-hackear-tu-router-1730385
https://www.adslzone.net/2018/04/17/hackers-rusos-router/
https://www.kaspersky.com/blog/cisco-apocalypse/21966/