Un grupo cibernético patrocinado por el estado ruso designado como la tundra estática ha estado explotando activamente una vulnerabilidad de siete años en los dispositivos de redes de Cisco para robar datos de configuración y establecer un acceso persistente en redes de infraestructura críticas.
El sofisticado actor de amenazas, vinculado a la unidad del Servicio de Seguridad Federal de Seguridad (FSB) de Rusia, ha estado apuntando a dispositivos de red no parchados y al final de la vida desde 2015, con operaciones significativamente aumentadas después del conflicto de Rusia-Ukraine.
La campaña se centra en CVE-2018-0171, una vulnerabilidad previamente revelada en la función de instalación inteligente del software Cisco IOS que permite a los atacantes remotos no autenticados ejecutar código arbitrario o activar condiciones de denegación de servicio.
A pesar de los parches de emisión de Cisco en 2018, Static Tundra continúa encontrando el éxito explotando organizaciones que no han aplicado actualizaciones de seguridad o están ejecutando dispositivos heredados más allá de su ciclo de vida de soporte.
Las víctimas de Tundra estática abarcan telecomunicaciones, educación superior y sectores de fabricación en América del Norte, Asia, África y Europa.
El grupo demuestra una notable persistencia, manteniendo el acceso a entornos comprometidos durante varios años sin detección.
Analistas de Cisco Talos identificado El grupo de amenazas a través del análisis continuo de compromisos sofisticados de dispositivos de red, observando el conocimiento avanzado del grupo de la infraestructura de red y la implementación de herramientas de explotación a medida.
Metodología de ataque y exfiltración de configuración
La Tundra estática emplea un enfoque metódico para el robo de configuración, comenzando con la explotación automatizada de la vulnerabilidad de instalación inteligente contra listas de objetivos predeterminados que probablemente se recopilan de servicios de escaneo público como Shodan o Censys.
Tras la explotación exitosa, los atacantes modifican inmediatamente la configuración de ejecución para habilitar los servicios de protocolo de transferencia de archivos trivial local (TFTP) utilizando el comando:–
tftp-server nvram: startup-config
Este comando crea un servidor TFTP temporal que permite que la Tundra estática establezca una conexión secundaria y recupere el archivo de configuración de inicio del dispositivo.
Las configuraciones extraídas a menudo contienen credenciales confidenciales y cadenas comunitarias de protocolo de gestión de red simple (SNMP) que facilitan la penetración de red más profunda.
Los actores de amenaza aprovechan estas credenciales comprometidas para pivotar lateralmente a través de entornos de red, utilizando protocolos SNMP con direcciones fuente falsificadas para evitar las listas de control de acceso.
Se ha observado que la tundra estática creando cuentas de usuarios locales privilegiadas y estableciendo túneles de encapsulación de enrutamiento genérico para redirigir y capturar el tráfico de redes de inteligencia, lo que demuestra su enfoque en el espionaje a largo plazo en lugar de la ganancia financiera inmediata.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
