A Agência de Segurança de Segurança Cibernética e Infraestrutura (CISA) apresentou um Consultor abrangente de segurança cibernética (CSA) projetada para capacitar os defensores da rede a detectar, caçar e mitigar as atividades de ameaça persistente avançada (APT) atores ligados à República Popular da China.
Drawing on a coordinated effort with the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), and allied partners in Australia, Canada, the United Kingdom, and beyond, this guide synthesizes technical observations, indicators of compromise (IOCs), and countermeasure recommendations to safeguard critical telecommunications, government, transportation, and lodging infrastructures worldwide.
CISA’s O guia aborda os atores de ameaças cibernéticas patrocinadas pelo Estado-geralmente rastreadas por nomes da indústria como Salt Typhoon, Redmike e UNC5807-que exploraram sistematicamente vulnerabilidades conhecidas em roteadores de backbone e dispositivos de borda de provedores para obter acesso persistente a longo prazo a redes globais.
Esses atores aproveitam as vulnerabilidades, incluindo o desvio de autenticação CVE-2023-2023-20198 da Cisco IOS, Ivanti Connect CVE-2024-21887 Injeção de comando CVE-2024-2188 e as redes de arbitrarias do Palo Alto.
Orientação de caça de ameaças
Uma pedra angular do aviso é o seu manual detalhado de caça de ameaças. Defensores de rede são instados a:
- Configurações do dispositivo de auditoria e compare os estados em execução com linhas de base autorizadas, prestando atenção especial às modificações inesperadas da lista de controle de acesso (ACL), novos contêineres virtuais e comandos de captura de pacotes não autorizados.
- Monitore os serviços de gerenciamento em portas não padrão. Por exemplo, procure os ouvintes SSH usando padrões de porta 22 × 22 ou xxx22 e pontos de extremidade HTTPS/Web UI em portas altas (18xxx) VRFs de gerenciamento dedicados externos.
- Rastrear a atividade de contêiner Linux incorporado (Cisco Guest Shell), permitindo a contabilidade de comando AAA, capturando logs de contêineres e alertando o inesperado GOESTSHELL HILLE, Run Guestshell, OrdoHostInvocations.
- Analise os fluxos de rede para TACACS+ (TCP/49) ou tráfego de raio direcionado para IPS não aprovado e inspecione sessões de FTP/TFTP originárias de roteadores-indicadores potenciais da exfiltração de PCAP na caixa.
O aviso ressalta a criticidade de corrigir CVEs exploradas conhecidas como uma prioridade superior. As organizações devem garantir que todos os dispositivos de borda sejam corrigidos contra CVE-2024-21887, CVE-2024-3400, CVE-2023-20273, CVE-2023-20198 e CVE-2018-0171. Medidas de endurecimento adicionais incluem:
- Exibindo o isolamento do plano de gerenciamento por meio de VRFs dedicados ou redes fora da banda com rigoroso policiamento do plano de controle (COPP).
- Desativando serviços não utilizados (por exemplo, instalação inteligente da Cisco, shell convidado) e protocolos (telnet, http) e exigindo gerenciamento criptografado e autenticado (sshv2, snmpv3, https).
- Implementando registro robusto e repositórios imutáveis de log central, com políticas de retenção adequadas para investigações forenses.
- Adotando contramedidas de miter D3fend-como filtragem de tráfego de saída (D3-OTF) e altere a senha padrão (D3-CFP)-para reduzir a superfície de ataque e impedir o abuso de credenciais.
A consultoria da CISA, co-publicada com agências parceiras em toda a América do Norte, Europa e Ásia-Pacífico, enfatiza a importância de compartilhamento de informações.
A recomendação conjunta incentiva as organizações a relatar detalhes de compromisso, incluindo vetores de acesso inicial, infraestrutura de exfiltração e TTPs observados, para apoiar a consciência situacional coletiva e o refinamento de táticas defensivas.
Seguindo a lista de verificação de mitigação de caça de ameaças do guia, os operadores críticos de infraestrutura podem diminuir significativamente o risco representado pelos atores apt patrocinados pelo Estado chinês, reforçando a resiliência dos ecossistemas globais de rede.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!