Cisco підтвердила, що китайські хакери, імовірно пов’язані з урядом, активно використовують критичну невиправлену вразливість у її широко використовуваних продуктах безпеки. Ця вразливість впливає на Cisco Secure Email Gateway, Cisco Secure Email і Web Manager, потенційно даючи зловмисникам повний контроль над скомпрометованими пристроями.
Деталі критичної вразливості
Уразливість міститься у функції карантину спаму програмного забезпечення Cisco AsyncOS. Хоча це не ввімкнено за замовчуванням, екземпляри, доступні в Інтернеті, піддаються безпосередньому ризику. 10 грудня Cisco виявила кампанію з експлуатації, але негайного вирішення немає, що змушує організації несамовито шукати стратегії пом’якшення.
Поточна рекомендація компанії надзвичайно жорстка: повний ремонт зачеплених пристроїв. Це пов’язано з тим, що зловмисники, ймовірно, вже встановили постійні бекдори, які неможливо видалити за допомогою звичайного патча.
Чому це важливо
Це надзвичайно серйозна загроза з кількох причин:
- Широке розповсюдження: Продукти безпеки електронної пошти Cisco широко використовуються великими організаціями, що робить потенційну поверхню атаки значною.
- Урядові особи: Cisco Talos, підрозділ компанії з аналізу загроз, пов’язує цю кампанію з підтримуваними урядом китайськими хакерськими групами. Це свідчить про цілеспрямовану операцію, а не про опортуністичний злочин.
- Експлойт нульового дня: відсутність виправлення означає, що навіть організації з надійними методами безпеки залишаються вразливими, доки вразливість не буде усунено.
Обмежені варіанти пом’якшення
Хоча карантин спаму не ввімкнено за замовчуванням і не потребує підключення до Інтернету, Cisco визнає, що уражені системи вже скомпрометовані.
Експерти з безпеки, такі як Майкл Таггарт з UCLA Health Sciences, відзначають, що поверхня атаки дещо обмежена вимогою до інтерфейсу керування, доступного з Інтернету. Однак Кевін Бомонт, поважний дослідник кібербезпеки, попереджає, що відсутність патчів і потенційна довгострокова стійкість роблять цю кампанію особливо небезпечною.
Відповідь Cisco
Cisco поки не розкриває кількість постраждалих клієнтів. Коли його запитали про подробиці, представник компанії відмовився відповідати, натомість сказав, що вони «активно досліджують» ситуацію та «розробляють постійне рішення».
Це ситуація, що розвивається, і вимагає негайної уваги клієнтів Cisco. Відсутність виправлення змушує до радикальних дій: перебудова скомпрометованих систем є єдиним життєздатним рішенням на даний момент.
Той факт, що за цією кампанією стоять підтримувані державою китайські хакери, свідчить про те, що критична інфраструктура та конфіденційні дані знаходяться під загрозою. Організації повинні діяти швидко, щоб оцінити свій ризик і впровадити рекомендовані кроки для зменшення.
