Cisco potwierdziło, że chińscy hakerzy prawdopodobnie powiązani z rządem aktywnie wykorzystują krytyczną, niezałataną lukę w szeroko stosowanych produktach bezpieczeństwa. Ta luka dotyczy rozwiązań Cisco Secure Email Gateway, Cisco Secure Email i Web Manager, potencjalnie zapewniając atakującym pełną kontrolę nad zaatakowanymi urządzeniami.
Szczegóły krytycznej luki w zabezpieczeniach
Luka zlokalizowana jest w funkcji Kwarantanna spamu oprogramowania Cisco AsyncOS. Chociaż nie jest to domyślnie włączone, instancje dostępne przez Internet są zagrożone. Firma Cisco odkryła kampanię wykorzystującą luki w zabezpieczeniach 10 grudnia, ale nie ma natychmiastowego rozwiązania, co zmusza organizacje do gorączkowego poszukiwania strategii łagodzących.
Obecne zalecenie firmy jest niezwykle drastyczne: kompletny remont uszkodzonych urządzeń. Dzieje się tak dlatego, że napastnicy prawdopodobnie zainstalowali już trwałe backdoory, których nie można usunąć za pomocą zwykłej łatki.
Dlaczego to ma znaczenie
Jest to niezwykle poważne zagrożenie z kilku powodów:
- Szeroka dystrybucja: Produkty Cisco do zabezpieczania poczty e-mail są szeroko stosowane w dużych organizacjach, co powoduje, że potencjalna powierzchnia ataku jest znaczna.
- Podmioty rządowe: Cisco Talos, dział firmy zajmujący się badaniem zagrożeń, łączy tę kampanię ze wspieranymi przez rząd chińskimi grupami hakerskimi. Sugeruje to raczej celową operację niż przestępstwo oportunistyczne.
- Exloit dnia zerowego: brak łatki oznacza, że nawet organizacje stosujące rygorystyczne praktyki bezpieczeństwa są podatne na ataki, dopóki luka nie zostanie naprawiona.
Ograniczone opcje łagodzenia
Chociaż Kwarantanna spamu nie jest domyślnie włączona i nie wymaga połączenia z Internetem, Cisco przyznaje, że systemy, których dotyczy problem, zostały już przejęte.
Eksperci ds. bezpieczeństwa, tacy jak Michael Taggart z UCLA Health Sciences, zauważają, że powierzchnia ataku jest nieco ograniczona wymogiem interfejsu zarządzania dostępnego z Internetu. Jednak Kevin Beaumont, szanowany badacz cyberbezpieczeństwa, ostrzega, że brak poprawek i potencjalna długoterminowa trwałość sprawiają, że ta kampania jest szczególnie niebezpieczna.
Odpowiedź Cisco
Cisco nie ujawniło jeszcze liczby klientów, których dotyczy problem. Zapytany o szczegóły rzecznik firmy odmówił odpowiedzi i zamiast tego powiedział, że „aktywnie bada” sytuację i „opracowuje trwałe rozwiązanie”.
Jest to ewoluująca sytuacja, która wymaga natychmiastowej uwagi ze strony klientów Cisco. Brak rozwiązania wymusza radykalne działanie: odbudowa zainfekowanych systemów jest obecnie jedynym realnym rozwiązaniem.
Fakt, że za tą kampanią stoją wspierani przez państwo chińscy hakerzy, wskazuje, że infrastruktura krytyczna i wrażliwe dane są zagrożone. Organizacje muszą działać szybko, aby ocenić swoje narażenie na ryzyko i wdrożyć zalecane kroki łagodzące.
