Alat anu aya di wates antara internét sareng jaringan internal perusahaan – khususna alat anu tanggung jawab pikeun kaamanan sareng manajemén lalu lintas jaringan – sering janten target prioritas pikeun panyerang. Aranjeunna teu ngahudangkeun kacurigaan nalika ngirim jumlah badag lalulintas kaluar, sarta dina waktos anu sareng gaduh aksés ka sumberdaya organisasi jeung lolobana lalulintas internal. Catet ogé yén log aktivitas jaringan sering dihasilkeun sareng disimpen dina alat-alat ieu, janten upami router dikompromi, panyerang tiasa mupus sagala jejak kagiatan jahatna.

Ieu sababna kompromi router parantos janten permata makuta tina APT anu terkenal sapertos Slingshot, APT28, sareng Camaro Dragon. Tapi kiwari, pihak-pihak nu kurang canggih ogé bisa ngamangpaatkeun, utamana lamun pausahaan targétna ngagunakeun modél router anu katinggaleun jaman, dirojong sacara informal, atawa leutik/kantor imah.

Serangan dina routers na firewalls biasana mangpaatkeun vulnerabilities, nu hanjakalna kapanggih kalawan aturanana hébat. Kadang-kadang kerentananna parah pisan – tapi ogé mangpaat pikeun panyerang – yén sababaraha ahli heran naha backdoors parantos ngahaja disimpen dina firmware alat masing-masing. Tapi sanajan sagala kerentanan dipikawanoh geus dibereskeun, rupa kasalahan konfigurasi, atawa ngan fitur unrepairable dina model router heubeul, bisa ngabalukarkeun inféksi. Badan cybersecurity AS sareng Jepang nembé nyebarkeun piwuruk lengkep ngeunaan serangan canggih ieu, anu museur kana kagiatan grup BlackTech APT (aka T-APT-03, Circuit Panda, sareng Palmerworm). Analisis ieu kalebet grup TTP dina jaringan anu kainféksi, tapi fokus kami nyaéta kana aspék anu paling narik dina laporan ieu – firmware jahat.

BlackTech nyerang titik lemah dina pertahanan perusahaan

Serangan dimimitian ku serangan ka perusahaan target ku infiltrasi salah sahiji cabang régional na. Aktor BlackTech ngagunakeun taktik tradisional pikeun ngalakukeun ieu, ti phishing pikeun ngamangpaatkeun kerentanan – nalika serangan router henteu acan dilaksanakeun. Aranjeunna ngamangpaatkeun kanyataan yén kantor cabang mindeng ngagunakeun hardware basajan tur mibanda kawijakan IT na infosec kirang stringent.

BlackTech lajeng expands ayana dina jaringan cabang sarta ménta Kapercayaan administrasi pikeun routers atanapi firewalls. Bersenjata ieu, intruder nu flashes alat ujung kalawan firmware jahat tur ngagunakeun status dipercaya -na pikeun ngajalankeun serangan on kantor puseur.

Mékanisme kompromi router

Kahiji, firmware sah tapi luntur dimuat kana alat. Katuhu saatos reboot, peretas ngarobih program anu dimuat kana RAM alat (ku patching panas) pikeun nganonaktipkeun fitur kaamanan anu biasana nyegah ngamuat komponén anu dirobih (ROMmon). Pikeun ngalakukeun trik ieu, versi firmware anu lami kedah dijalankeun heula. Saatos nganonaktipkeun ROMmon, firmware anu dirobih (sareng dina sababaraha kasus bootloader alat anu dirobih) diunggah ka router. Saatos reboot sejen, router sagemblengna dina kadali lawan.

Firmware anu dirobih ngadangukeun lalu lintas pikeun ngantosan pakét “sihir” anu bakal ngaktipkeun backdoor. Saatos nampi pakét ieu, alat éta masihan panyerang kontrol pinuh kana fungsina, sanaos aranjeunna henteu aya dina Daptar Kontrol Aksés, sareng ngamungkinkeun sambungan kana sési SSH nganggo nami pangguna khusus tapi henteu peryogi kecap konci. Peta pamaké ieu teu asup log.

Kumaha panyerang mangpaatkeun router

Firmware router anu jahat henteu ngan ukur masihan panyusup tempat anu aman dina jaringan target, tapi ogé ngabantosan ngarengsekeun rupa-rupa masalah taktis ku:

  • Nyumputkeun parobahan konfigurasi;
  • Henteu ngarékam paréntah sareng tindakan panyerang;
  • Blok palaksanaan sababaraha paréntah sah dina konsol router, ngahalangan panalungtikan kajadian.

laporan museurkeun kana firmware jahat pikeun routers Cisco dina platform ios, tapi nyebutkeun yén BlackTech compromised model sejen pakakas jaringan dina cara nu sami. Urang kedah nambihan yén insiden kompromi alat anu sateuacana mangaruhan merek Fortinet, SonicWall, TP-Link, sareng Zyxel.

Counter serangan ngalawan routers na firewalls

Jelas, hiji organisasi aya dina resiko lamun ngagunakeun model alat jaringan ujung luntur, firmware luntur, atawa firmware teu resmi (ieu teu ngan dilarapkeun ka alat Cisco). Nanging, bahkan router énggal sareng firmware énggal tiasa janten alat anu mangpaat pikeun panyerang, ku kituna rekomendasi pangarang laporan patut dilaksanakeun dina unggal jaringan.

Tempat sistem administrasi dina jaringan aréa lokal virtual (VLAN) misah.. Blokkeun sadaya lalu lintas anu henteu sah tina alat jaringan anu ditujukeun pikeun VLAN non-administratif.

Ngawatesan aksés ka layanan administrasi ka alamat IP administrator otorisasi urang. Daptar aksés tiasa diterapkeun ka sadaya jalur teletype virtual (VTY) sareng jasa administrasi anu tangtu. Pikeun routers Cisco, disarankeun pikeun ngawatesan komunikasi sareng sistem éksternal ka VTY nganggo paréntah “kaluaran angkutan euweuh”.

Ngawas usaha suksés jeung gagal pikeun ngakses administrasi router.

Tinjauan log alat jaringan sacara teratur pikeun kajadian anu teu disangka-sangka reboot, Robah versi OS, parobahan konfigurasi, atawa usaha update firmware. Pariksa deui rencana pembaruan parangkat lunak departemen IT pikeun mastikeun unggal acara parantos diidinan.

Ngawaskeun sambungan jaringan asup jeung kaluar “aneh” ti alat ujung. Ilaharna, alat-alat jaringan ngabagikeun routing sareng inpormasi topologi jaringan ngan sareng alat anu caket, sareng administrasi, pangimeutan, auténtikasi, sareng sinkronisasi waktos dilaksanakeun sareng ngan sajumlah leutik komputer administrasi.

Robah sadaya kecap akses sareng konci kalawan kacurigaan slightest yén sanajan hiji sandi tunggal geus compromised.

Ningkatkeun hardware. Panginten rekomendasi anu paling hese sareng frustrating. Organisasi anu nganggo modél anu langkung lami anu henteu ngadukung téknologi boot aman disarankan pikeun ngarencanakeun sareng anggaran pikeun ningkatkeun hardware ieu dina waktos anu paling pondok. Nalika milih alat-alat anyar, leuwih sering dipake tinimbang kudu dibikeun ka ngical paralatan anu ngagunakeun metodologi ngembangkeun aman tur pendekatan design aman.


#Kumaha #ngajaga #router #perusahaan #sareng #firewall #tina #peretasan