De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwt dat het heeft waargenomen dat bedreigingsactoren gebruikmaken van niet-gecodeerde persistente cookies die worden beheerd door de F5 BIG-IP Local Traffic Manager (LTM)-module om verkenningen van doelnetwerken uit te voeren.
Er staat dat de module wordt gebruikt om andere niet-internetgerichte apparaten op het netwerk op te sommen. Het bureau heeft echter niet bekendgemaakt wie er achter de activiteit zit, of wat de einddoelen van de campagne zijn.
“Een kwaadwillende cyberactor zou de informatie die is verzameld uit niet-versleutelde persistentiecookies kunnen gebruiken om extra netwerkbronnen af te leiden of te identificeren en mogelijk kwetsbaarheden te misbruiken die worden aangetroffen in andere apparaten die op het netwerk aanwezig zijn”, aldus CISA in een advies.
Het heeft organisaties ook aanbevolen om persistente cookies die worden gebruikt in F5 BIG-IP-apparaten te coderen door cookie-encryptie binnen het HTTP-profiel te configureren. Bovendien dringt het er bij gebruikers op aan om de bescherming van hun systemen te verifiëren door een diagnostisch hulpprogramma van F5 uit te voeren, genaamd BIG-IP iHealth, om potentiële problemen te identificeren.
“De BIG-IP iHealth Diagnostics-component van het BIG-IP iHealth-systeem evalueert de logs, opdrachtuitvoer en configuratie van uw BIG-IP-systeem aan de hand van een database met bekende problemen, veelvoorkomende fouten en gepubliceerde F5-best practices”, merkt F5 op in een ondersteuningsdocument.
“De geprioriteerde resultaten bieden feedback op maat over configuratieproblemen of codedefecten en geven een beschrijving van het probleem, (en) aanbevelingen voor oplossing.”
De onthulling komt op het moment dat cyberveiligheidsagentschappen uit Groot-Brittannië en de VS een gezamenlijk bulletin hebben gepubliceerd waarin de pogingen van Russische staatsgesteunde actoren worden beschreven om zich te richten op de diplomatieke, defensie-, technologie- en financiële sectoren om buitenlandse inlichtingen te verzamelen en toekomstige cyberoperaties mogelijk te maken.
De activiteit wordt toegeschreven aan een bedreigingsacteur die wordt gevolgd als APT29, ook bekend als BlueBravo, Cloaked Ursa, Cosy Bear en Midnight Blizzard. APT29 wordt beschouwd als een sleutelrol in de Russische militaire inlichtingenmachine en is aangesloten bij de Buitenlandse Inlichtingendienst (SVR).
“SVR-cyberinbraken omvatten een sterke focus op het anoniem en onopgemerkt blijven. De actoren gebruiken TOR uitgebreid tijdens inbraken – van de initiële targeting tot het verzamelen van gegevens – en in de netwerkinfrastructuur”, aldus de agentschappen.
“De actoren leasen operationele infrastructuur met behulp van een verscheidenheid aan valse identiteiten en e-mailaccounts met een lage reputatie. De SVR verkrijgt infrastructuur van wederverkopers van grote hostingproviders.”
Aanvallen van APT29 zijn gecategoriseerd als aanvallen die zijn ontworpen om inlichtingen te vergaren en blijvende toegang tot stand te brengen om compromissen in de toeleveringsketen te vergemakkelijken (dat wil zeggen, doelbewuste doelwitten), evenals aanvallen die hen in staat stellen kwaadaardige infrastructuur te hosten of vervolgoperaties uit te voeren vanaf gecompromitteerde accounts door misbruik te maken van algemeen bekende gebreken, zwakke referenties of andere verkeerde configuraties (dat wil zeggen, doelwitten van kansen).
Enkele van de significante beveiligingskwetsbaarheden die naar voren zijn gebracht, zijn onder meer CVE-2022-27924, een fout in opdrachtinjectie in Zimbra Collaboration, en CVE-2023-42793, een kritieke authenticatie-bypass-bug die het uitvoeren van externe code op TeamCity Server mogelijk maakt.
APT29 is een relevant voorbeeld van dreigingsactoren die voortdurend hun tactieken, technieken en procedures innoveren in een poging heimelijk te blijven en verdedigingsmechanismen te omzeilen, en zelfs zo ver gaan dat ze hun infrastructuur vernietigen en al het bewijsmateriaal wissen als zij vermoeden dat hun inbreuken zijn gedetecteerd, hetzij door het slachtoffer of de rechtshandhaving.
Een andere opmerkelijke techniek is het uitgebreide gebruik van proxynetwerken, bestaande uit aanbieders van mobiele telefonie of residentiële internetdiensten, om te communiceren met slachtoffers in Noord-Amerika en op te gaan in legitiem verkeer.
“Om deze activiteit te verstoren, moeten organisaties geautoriseerde apparaten in een basislijn plaatsen en extra controle uitoefenen op systemen die toegang hebben tot hun netwerkbronnen die niet aan de basislijn voldoen”, aldus de instanties.
