多年来,黑客一直瞄准面向公共网络的设备(例如路由器、VPN 集中器和负载均衡器)来渗透企业网络。在此类设备中发现远程代码执行漏洞的情况并不少见,但攻击者注入在重启或固件升级后仍然存在的恶意软件的情况很少见,而且背后通常有一个复杂的 APT 组织。
ⓒ 盖蒂图片银行
嵌入式网络设备使用闪存,当长时间暴露于多次写入时,闪存的性能会下降,因此它们通常将固件存储在只读文件系统中,并在每次重新启动时将其内容加载到 RAM 中。这意味着设备正常操作期间运行的各种服务创建的所有文件和更改都是临时的。这是因为它只发生在 RAM 中,并不存储在文件系统中,因此当设备重新启动或重新引导时,它会返回到其初始状态。
例外情况是通过设备管理界面创建并存储在称
为非易失性 RAM (NVRAM) 的有限希腊 WhatsApp 号码数据 存储区域中的配置文件和脚本。从攻击者的角度来看,这种限制使得持续破坏网络设备变得更加困难。因此,例如,在针对家庭路由器的大规模攻击中,自动僵尸网络用于定期重新扫描和重新感染重新启动的路由器。
然而,在针对企业网络的定向攻击场景中,攻击者必须保持隐蔽性,因此对同一设备进行多次重复攻击是不合适的。这是因为漏洞在披露后可以被检测到。此外,攻击者可能更愿意长期访问该设备,将其用作进入内部网络的桥梁,或作为通过横向移动扩展对其他私有设备的访问的中心点。
Citrix 和 F5 负载均衡器上的攻击者持续存在
自 2019 年以来,Citrix 和 F5 负载 数字列表 均衡器中发现了三个严重漏洞(CVE-2019-19781、CVE-2020-5902 和 CVE-2022-1388。此漏洞已被公众所知并被使用,促使包括美国网络安全和基础设施安全局 (CISA) 在内的多个组织发出警告。固件安全公司 Eclypsium 的研究人员最近调查了攻击者在这些设备上的持久性。调查结果在上周三的一份报告中公布。
2022 年 5 月,安全公司 Mandiant 报告称,一个网络间谍威胁行为者(最初被识别为 UNC3524,但现在据信与俄罗斯政府运营的 APT29 (Cozy Bear) 有关)已渗透到企业网络并损害了最终用户。他们报告他们在网络设备(包括负载均衡器)中植入后门,在不支持运行点检测和响应(EDR)等检测工具的情况下运行旧版本的 CentOS 和 BSD,从而在很长一段时间内未被检测到。Mandiant 没有透露该设备或其制造商的名称,但 Eclipseum 研究人员认为有问题的设备是 F5 和 Citrix 设备。这是因为 F5 负载均衡器运行 CentOS,而 Citrix(以前称为 NetScaler)运行 FreeBSD。
Eclipsium研究人员在报告中表示,“UNC3524的一个显着特点是它的TTP不稳定。他说:“他们使用修改后的开源软件来设置后门,他们对系统的理解仅限于实现最基本的目标。”“植入程序非常不稳定,他们安装了一个单独的 Web shell,只是为了在以下情况下重新启动植入程序:它死了。”确实如此。这是成为这项研究的催化剂的特征。
