Cisco potvrdilo, že čínští hackeři, o kterých se předpokládá, že jsou napojení na vládu, aktivně využívají kritickou, neopravenou zranitelnost v jejích široce používaných bezpečnostních produktech. Tato zranitelnost ovlivňuje Cisco Secure Email Gateway, Cisco Secure Email a Web Manager, což útočníkům potenciálně poskytuje úplnou kontrolu nad napadenými zařízeními.
Podrobnosti o kritické zranitelnosti
Tato chyba zabezpečení se nachází ve funkci spamové karantény softwaru Cisco AsyncOS. Ačkoli to není ve výchozím nastavení povoleno, instance přístupné přes internet jsou bezprostředně ohroženy. Společnost Cisco objevila kampaň zaměřenou na zneužívání 10. prosince, ale neexistuje žádná okamžitá oprava, takže organizace horečně hledají strategie zmírňování.
Současné doporučení společnosti je extrémně drastické: kompletní revize postižených zařízení. Je to proto, že útočníci již pravděpodobně nainstalovali trvalá zadní vrátka, která nelze odstranit běžnou opravou.
Proč na tom záleží
Jedná se o extrémně vážnou hrozbu z několika důvodů:
- Široká distribuce: Produkty Cisco pro zabezpečení e-mailů jsou široce používány velkými organizacemi, takže potenciální útok je významný.
- Vládní činitelé: Cisco Talos, divize společnosti zabývající se hrozbami, spojuje tuto kampaň s vládou podporovanými čínskými hackerskými skupinami. To naznačuje spíše cílenou operaci než oportunistický zločin.
- Zero Day Exploit: Neexistence opravy znamená, že i organizace se silnými bezpečnostními postupy jsou zranitelné, dokud nebude zranitelnost opravena.
Omezené možnosti zmírnění
Přestože karanténa spamu není ve výchozím nastavení povolena a nevyžaduje připojení k internetu, společnost Cisco uznává, že dotčené systémy jsou již kompromitovány.
Bezpečnostní experti, jako je Michael Taggart z UCLA Health Sciences, poznamenávají, že plocha útoku je poněkud omezena požadavkem na rozhraní pro správu přístupné z internetu. Kevin Beaumont, uznávaný výzkumník v oblasti kybernetické bezpečnosti, však varuje, že nedostatek záplat a potenciální dlouhodobá perzistence činí tuto kampaň obzvláště nebezpečnou.
Odpověď společnosti Cisco
Cisco zatím nezveřejnilo počet dotčených zákazníků. Když byl dotázán na podrobnosti, mluvčí společnosti odmítl odpovědět a místo toho řekl, že situaci „aktivně vyšetřují“ a „vyvíjejí trvalé řešení“.
Toto je vyvíjející se situace, která vyžaduje okamžitou pozornost zákazníků společnosti Cisco. Nedostatek nápravy si vynucuje radikální akci: přestavba kompromitovaných systémů je v tuto chvíli jediným životaschopným řešením.
Skutečnost, že za touto kampaní stojí státem podporovaní čínští hackeři, naznačuje, že kritická infrastruktura a citlivá data jsou ohroženy. Organizace musí jednat rychle, aby vyhodnotily své vystavení riziku a provedly doporučené kroky ke zmírnění.
