Cisco heeft bevestigd dat door de Chinese staat gesponsorde hackers actief misbruik maken van een kritieke, niet-gepatchte kwetsbaarheid in zijn veelgebruikte beveiligingsproducten. De fout treft Cisco Secure Email Gateway, Cisco Secure Email en Web Manager-appliances, waardoor aanvallers mogelijk volledige controle krijgen over aangetaste apparaten.
Details van kritieke kwetsbaarheden
Het beveiligingslek bevindt zich in de functie “Spam Quarantaine” van Cisco AsyncOS-software. Hoewel dit niet standaard is ingeschakeld, lopen blootgestelde instanties die via internet bereikbaar zijn, een onmiddellijk risico. Cisco ontdekte de exploitatiecampagne op 10 december, maar er is geen onmiddellijke patch beschikbaar, waardoor organisaties op zoek zijn naar mitigatiestrategieën.
De huidige aanbeveling van het bedrijf is extreem: volledige herbouw van de getroffen apparaten. Dit komt omdat de aanvallers waarschijnlijk al hardnekkige achterdeurtjes hebben opgezet die niet kunnen worden verwijderd met conventionele patching.
Waarom dit belangrijk is
Dit is om verschillende redenen een zeer ernstige bedreiging:
- Brede implementatie: De e-mailbeveiligingsproducten van Cisco worden intensief gebruikt door grote organisaties, waardoor de potentiële aanvalsoppervlakte aanzienlijk is.
- Door de staat gesponsorde actoren: Cisco Talos, de dreigingsinformatieafdeling van het bedrijf, koppelt de campagne aan door de Chinese overheid gesteunde hackgroepen. Dit duidt op een gerichte inspanning in plaats van opportunistische misdaad.
- Zero-Day Exploit: Het ontbreken van een patch betekent dat zelfs organisaties met sterke beveiligingspraktijken kwetsbaar zijn totdat de fout is verholpen.
Beperkte mitigatieopties
Hoewel de Spam Quarantine-functie niet standaard is ingeschakeld en niet aan internet hoeft te worden blootgesteld, geeft Cisco toe dat getroffen systemen al zijn gecompromitteerd.
Beveiligingsonderzoekers zoals Michael Taggart van UCLA Health Sciences merken op dat het aanvalsoppervlak enigszins wordt beperkt door de vereiste voor een op het internet gerichte beheerinterface. Kevin Beaumont, een gerespecteerd onderzoeker op het gebied van cyberbeveiliging, waarschuwt echter dat het gebrek aan patches en het potentieel voor persistentie op de lange termijn dit tot een bijzonder gevaarlijke campagne maken.
Reactie van Cisco
Cisco heeft het aantal getroffen klanten nog niet bekendgemaakt. Toen er om details werd gevraagd, weigerde een woordvoerder van het bedrijf vragen te beantwoorden en verklaarde in plaats daarvan dat ze “actief onderzoek doen” en “een permanente oplossing ontwikkelen”.
Dit is een zich ontwikkelende situatie die onmiddellijke aandacht van Cisco-klanten vereist. Het ontbreken van een patch dwingt tot drastische actie: het opnieuw opbouwen van gecompromitteerde systemen is op dit moment de enige haalbare oplossing.
Het feit dat door de Chinese staat gesponsorde hackers achter deze campagne zitten, suggereert dat kritieke infrastructuur en gevoelige gegevens in gevaar zijn. Organisaties moeten snel handelen om hun blootstelling te beoordelen en de aanbevolen mitigatiestappen te implementeren.
