Cisco en de FBI waarschuwen organisaties vandaag voor actief misbruik van een 7 jaar oud beveiligingslek waarmee aanvallers netwerkapparaten op afstand kunnen overnemen. Updates voor de kwetsbaarheid, aangeduid als CVE-2018-0171, zijn sinds 28 maart 2018 beschikbaar. Organisaties die de update niet kunnen installeren, bijvoorbeeld omdat het netwerkapparaat end-of-life is, wordt aangeraden Smart Install uit te schakelen.

De impact van CVE-2018-0171 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het is aanwezig in de Smart Install feature van Cisco IOS en IOS XE. Dit zijn besturingssystemen die op de routers en switches van Cisco draaien. Smart Install is een 'plug-and-play' feature voor het op afstand configureren en uitrollen van switches, dat 'by design' geen authenticatie vereist. Via het lek kan een aanvaller een reload van het netwerkapparaat veroorzaken, wat de mogelijkheid geeft tot het uitvoeren van willekeurige code op het apparaat.

Aanvallers hebben de afgelopen jaren misbruik van CVE-2018-0171 gemaakt en doen dat nog steeds, aldus Cisco. In een vandaag verscheen blogposting waarschuwt het bedrijf voor een groep aanvallers genaamd Static Tundra die netwerkapparaten via het lek compromitteert. Het gaat volgens Cisco om een door Rusland gesteunde spionagegroep. Static Tundra gebruikt de kwetsbaarheid als eerste voor het stelen van configuratiegegevens. Daarna proberen de aanvallers "persistent access" te krijgen.

Voor de langetermijntoegang wordt gebruikgemaakt van malware genaamd "SYNful Knock". De aanvallers injecteren deze malware in een Cisco IOS image en laden die het op het gecompromitteerde netwerkapparaat. Zodoende blijven de aanvallers toegang behouden, ook na reboots van het apparaat. Remote toegang tot het apparaat wordt verkregen door het versturen van een speciaal geprepareerd TCP SYN packet, ook wel een "magic packet" genaamd. De gecompromitteerde netwerkapparaten worden vervolgens gebruikt voor het stelen van informatie en het compromitteren van andere netwerkapparaten.

De FBI stelt dat de aanvallers het afgelopen jaar de configuratiebestanden van duizenden netwerkapparaten van Amerikaanse entiteiten in de vitale infrastructuur hebben verzameld. "Op sommige kwetsbare apparaten werden configuratiebestanden aangepast om toegang tot die apparaten te behouden", aldus de Amerikaanse opsporingsdienst. "De aanvallers gebruikten deze ongeautoriseerde toegang om de netwerken van slachtoffers te verkennen, waarbij vooral interesse was in protocollen en applicaties gebruikt door industriële controlesystemen."