Китайские хакеры взломали тысячи маршрутизаторов CISCO в инфраструктуре США

По данным отчета команды STRIKE компании SecurityScorecard, хакеры из группы Volt Typhoon, связанной с китайским правительством, получили постоянный доступ к маршрутизаторам Cisco RV320/325, продажи которых прекратились в 2019 году.

Злоумышленники используют две уязвимости в веб-интерфейсе управления маршрутизаторов Cisco Small Business RV320 и RV325 Dual Gigabit WAN VPN, обе были добавлены в каталог CISA Known Exploited Vulnerabilities (KEV):

• CVE-2019-1653 (оценка CVSS: 7.5): позволяет неаутентифицированному удаленному злоумышленнику получить конфиденциальную информацию. Ошибка связана с неправильным контролем доступа к URL-адресам. Киберпреступник может воспользоваться недостатком, подключившись к уязвимому устройству через HTTP/HTTPS и запросив определенные URL-адреса. Успешная эксплуатация позволяет атакующему загрузить конфигурацию маршрутизатора или подробную диагностическую информацию.

• CVE-2019-1652 (оценка CVSS: 7.2): позволяет удаленному злоумышленнику, прошедшему проверку подлинности и имеющему права администратора на уязвимом устройстве, выполнять произвольные команды. Уязвимость связана с неправильной проверкой вводимых пользователем данных. Киберпреступник может воспользоваться уязвимостью, отправив вредоносные запросы HTTP POST к веб-интерфейсу управления уязвимого устройства. Успешный эксплойт позволяет злоумышленнику выполнять произвольные команды в базовой оболочке Linux от имени root-пользователя.

Уязвимости затрагивают устройства RV320 и RV325 с версией ПО 1.4.2.15–1.4.2.20. Полное исправление поступило в версии прошивки 1.4.2.22, однако не все администраторы уделили должное внимание к обновлению устаревших устройств.

По оценкам специалистов STRIKE, за 37 дней хакеры скомпрометировали около 30% устройств. Команда наблюдала частые соединения между скомпрометированными устройствами и инфраструктурой Volt Typhoon с 1 декабря 23 по 7 января 2024 года, что позволяет предположить очень активное присутствие.

Исследователи также обнаружили веб-шеллы на взломанных маршрутизаторах, установленные хакерами для дальнейшего контроля систем. Есть признаки того, что Volt Typhoon готовит новую инфраструктуру для атак на активы правительств США, Великобритании и Австралии.

Исследователи также указывают на активную подготовку Volt Typhoon к новым атакам, в том числе на цели в США и у союзников. Они обнаружили связь 325 из 1 116 потенциальных целей с IP-адресами, ранее идентифицированными как прокси, используемые Volt Typhoon.

Эксперты считают, что успех этой кампании связан с тем, что злоумышленники нацелились на устаревшее оборудование, которому часто не уделяют должного внимания. Подобные атаки могут стать популярным трендом в киберпреступном сообществе.