Cisco подтвердила, что китайские хакеры, предположительно связанные с государственными структурами, активно эксплуатируют критическую, необновленную уязвимость в своих широко используемых продуктах безопасности. Эта уязвимость затрагивает Cisco Secure Email Gateway, Cisco Secure Email и Web Manager, потенциально предоставляя злоумышленникам полный контроль над скомпрометированными устройствами.
Подробности Критической Уязвимости
Уязвимость находится в функции «Карантин Спама» программного обеспечения Cisco AsyncOS. Хотя она не включена по умолчанию, экземпляры, доступные из интернета, находятся в немедленной опасности. Cisco обнаружила кампанию по эксплуатации 10 декабря, но немедленного исправления не существует, что заставляет организации лихорадочно искать стратегии смягчения последствий.
Текущая рекомендация компании крайне радикальна: полная перестройка затронутых устройств. Это связано с тем, что злоумышленники, вероятно, уже установили постоянные бэкдоры, которые невозможно удалить с помощью обычного исправления.
Почему Это Имеет Значение
Это чрезвычайно серьезная угроза по нескольким причинам:
- Широкое Распространение: Продукты безопасности Cisco для электронной почты широко используются крупными организациями, что делает потенциальную поверхность атаки значительной.
- Государственные Акторы: Cisco Talos, аналитическое подразделение компании по угрозам, связывает эту кампанию с китайскими хакерскими группами, поддерживаемыми правительством. Это говорит о целенаправленной операции, а не об оппортунистическом преступлении.
- Эксплойт Нулевого Дня: Отсутствие исправления означает, что даже организации с надежными практиками безопасности уязвимы, пока уязвимость не будет устранена.
Ограниченные Варианты Смягчения Последствий
Хотя функция «Карантин Спама» не включена по умолчанию и не требует подключения к интернету, Cisco признает, что затронутые системы уже скомпрометированы.
Эксперты по безопасности, такие как Майкл Тэггарт из UCLA Health Sciences, отмечают, что поверхность атаки несколько ограничена требованием наличия интерфейса управления, доступного из интернета. Однако Кевин Бомонт, уважаемый исследователь в области кибербезопасности, предупреждает, что отсутствие исправлений и потенциальная долгосрочная устойчивость делают эту кампанию особенно опасной.
Реакция Cisco
Cisco пока не раскрыла количество пострадавших клиентов. На вопросы о деталях представитель компании отказался отвечать и вместо этого заявил, что они «активно расследуют» ситуацию и «разрабатывают постоянное решение».
Это развивающаяся ситуация, требующая немедленного внимания от клиентов Cisco. Отсутствие исправления вынуждает к радикальным действиям: перестройка скомпрометированных систем является единственным жизнеспособным решением на данный момент.
Тот факт, что за этой кампанией стоят китайские хакеры, поддерживаемые государственными структурами, указывает на то, что критическая инфраструктура и конфиденциальные данные находятся под угрозой. Организации должны действовать быстро, чтобы оценить свою подверженность риску и реализовать рекомендуемые шаги по смягчению последствий.
