英国和美国的网络安全和情报机构警告说，俄罗斯民族国家行为者利用思科网络设备中现已修补的漏洞，对目标进行侦察和部署恶意软件。

根据当局的说法，入侵发生在2021年，目标是欧洲的少数实体、美国政府机构和大约250名乌克兰受害者。

该活动被归因于一个被追踪为APT28的威胁行为者，它也被称为花式熊，森林暴雪（以前的锶），Frozen lake和Sofacy，并隶属于俄罗斯总参谋部主要情报局（GRU）。

国家网络安全中心（NCSC）表示：“众所周知，APT28通过使用默认和弱SNMP社区字符串，并利用CVE-2017-6742访问易受的路由器。”

CVE-2017-6742（CVSS得分:8.8）是一组远程代码执行缺陷的一部分，这些缺陷源于Cisco IOS和IOS XE软件中的简单网络管理协议（SNMP）子系统中的缓冲区溢出条件。

在机构观察到的攻击中，威胁行为者将该漏洞武器化，在思科路由器上部署一个名为Jaguar Tooth的非持久性恶意软件，该软件能够收集设备信息并启用未经身份验证的后门访问。

虽然思科在2017年6月修补了这些问题，但自2018年1月11日起，这些问题已被公开利用，这突出表明需要强大的补丁管理实践来限制攻击面。

除了更新到最新的固件，以减轻潜在的威胁，该公司还建议用户从SNMP切换到NETCONF或RESTCONF的网络管理。

Cisco Talos在一份联合公告中表示，这些攻击是针对各种供应商的老化网络设备和软件的更广泛行动的一部分，以“推进间谍目标或为未来的破坏性活动做好准备”。

这包括将恶意软件安装到基础设施设备中，试图监视网络流量，以及由”具有针对TACACS+/RADIUS服务器的内部环境访问权限的对手”发起的攻击。

思科威胁情报和拦截总监Matt Olney表示：“路由/交换设备稳定，很少从安全角度进行检查，通常补丁打得不好，并提供深度网络可视性。”

“对于那些既想保持安静，又想获得重要情报能力并在首选网络中获得立足点的对手来说，它们是完美的目标。世界各地的国家情报机构和国家支持的行动者都把网络基础设施作为攻击的首要目标。”

几个月前，美国政府曾警告说，至少从2020年起，中国的民族国家黑客团队就开始利用网络漏洞公共和私营部门组织。

今年早些时候，谷歌旗下的Mandiant强调了中国政府资助的威胁行动者在易受的Fortinet和SonicWall设备上部署定制恶意软件的努力。

Mandiant说：“先进的网络间谍威胁行为者正在利用任何可用的技术来持续和穿越目标环境，特别是那些不支持（端点检测和响应）解决方案的技术。”