O Federal Bureau of Investigation (FBI) emitiu um alerta urgente sobre uma campanha de ciberataques levada a cabo por hackers associados ao Serviço Federal de Segurança (FSB) da Rússia. Estes atacantes estão a visar organizações de infraestruturas críticas, explorando uma vulnerabilidade com sete anos em dispositivos da Cisco.
Num comunicado oficial, o FBI detalha que o grupo, ligado à unidade Center 16 do FSB e conhecido por nomes como Berserk Bear e Static Tundra, tem vindo a comprometer dispositivos de rede da Cisco em todo o mundo. Para tal, exploram a falha de segurança identificada como CVE-2018-0171.
Uma vulnerabilidade antiga mas ainda perigosa
A CVE-2018-0171 é uma vulnerabilidade crítica que afeta a funcionalidade Smart Install do software Cisco IOS e Cisco IOS XE. Se explorada com sucesso, permite que um atacante não autenticado execute código remotamente no dispositivo afetado ou force o seu reinício, resultando numa condição de negação de serviço (DoS) que pode paralisar as operações de uma rede.
"Durante o último ano, o FBI detetou os atores a recolher ficheiros de configuração de milhares de dispositivos de rede associados a entidades norte-americanas em setores de infraestruturas críticas", refere o comunicado. "Em alguns dispositivos vulneráveis, os atores modificaram os ficheiros de configuração para permitir o acesso não autorizado."
A investigação revelou ainda que os atacantes utilizaram esse acesso para realizar reconhecimento dentro das redes das vítimas, mostrando um interesse particular em protocolos e aplicações normalmente associados a sistemas de controlo industrial. Este mesmo grupo de hackers tem um historial de ataques a redes de organizações governamentais e entidades de aviação nos EUA ao longo da última década, conforme detalhado pelo Departamento de Justiça.
Cisco reforça o apelo para atualização imediata
Em resposta à intensificação dos ataques, a Cisco atualizou o seu próprio aviso de segurança, instando os administradores de sistemas a protegerem os seus dispositivos com a máxima urgência. A Talos, a divisão de cibersegurança da empresa, confirmou que o grupo de hackers tem explorado agressivamente esta falha para comprometer organizações nos setores das telecomunicações, educação e indústria na América do Norte, Ásia, África e Europa.
Os especialistas da Cisco observaram também o uso de ferramentas personalizadas que permitem aos atacantes manter a persistência nos dispositivos comprometidos e evitar a deteção durante anos, incluindo o implante de firmware conhecido como SYNful Knock.
A Cisco Talos alerta que a ameaça vai para além das operações russas. "Outros atores patrocinados por estados estão provavelmente a conduzir campanhas semelhantes de comprometimento de dispositivos de rede, tornando a aplicação de patches e o reforço da segurança críticos para todas as organizações", conclui a empresa. A recomendação é clara: qualquer dispositivo que ainda não tenha sido atualizado e que tenha a funcionalidade Smart Install ativa continua a ser um alvo prioritário.
Nenhum comentário
Seja o primeiro!