Бэкдор PolarEdge: угроза для маршрутизаторов Cisco
Бэкдор PolarEdge стал предметом внимание специалистов по кибербезопасности и представляет собой сложную угрозу, действие которой отмечено как минимум с конца 2023 года. Эта угроза использует уязвимость CVE-2023-20118, затрагивающую несколько моделей маршрутизаторов Cisco. Важность данной проблемы обусловлена тем, что уязвимость позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять удаленные команды, отправляя специально подготовленные HTTP-запросы.
Описание уязвимости
Уязвимость возникает из-за неправильной проверки ввода в веб-интерфейсе управления маршрутизаторами. Это создает возможность для атак, использующих командную строку. Эксплойт манипулирует функцией delete_cert, объединяющей вводимые пользователем данные в системный вызов без проверки.
Ход атак
В январе 2025 года злоумышленники активно использовали эту уязвимость для развертывания webshell на скомпрометированных маршрутизаторах. Процесс заключался в следующем:
- Злоумышленник заменял CGI-скрипт маршрутизатора на webshell, обеспечивая постоянную работоспособность системы.
- Для выполнения команд webshell требовался правильный ключ аутентификации, что облегчало дальнейшие вредоносные действия.
- Использовался определенный IP-адрес (45.77.152.227) для проверки и развертывания webshell.
Смена тактики
На 10 февраля 2025 года злоумышленник применил более организованный подход, отправив команды эксплойта с нескольких IP-адресов одновременно, что указывало на использование ботнета. Кроме того, наблюдалось использование нескольких периферийных устройств с одним и тем же пользовательским агентом для различных запросов, направленных на схожие уязвимости.
Распространение вредоносного ПО
Используя протокол FTP, злоумышленник инициировал сценарий оболочки, который запускал загрузку и установку бэкдора TLS. Этот подход можно охарактеризовать как методический, что весьма тревожно для специалистов в области кибербезопасности.
Ключевые функции вредоносного ПО
- cipher_log – основной бинарный файл, обладающий самоуничтожением, функциями завершения процесса и механизмом сохранения.
- Установка TLS-бэкдора с использованием библиотеки Mbed TLS, обеспечивающей шифрованную связь с сервером управления злоумышленника.
Масштаб угрозы
Анализ инфраструктуры атакующего указывает на значительную координацию – различные идентифицированные IP-адреса действуют слаженно и связаны с периферийными устройствами. Заразившись, устройства передают информацию обратно на сервер злоумышленника в зашифрованном виде.
Вредоносные приложения, направленные на устройства от Asus, QNAP и Synology, были обнаружены на сайте VirusTotal, что свидетельствует о широких эксплуатационных возможностях ботнета.
Неясные цели и предостережение
Несмотря на активность PolarEdge, конечная цель ботнета остается неясной. Существует мнение, что скомпрометированные устройства могут использоваться в качестве оперативных ретрансляторов (ORB) для будущих атак. Текущий анализ нацелен на глубокое понимание методов и общих целей, связанных с этой угрозой.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
