SG.hu
A Cisco szerint kínai hackerek egy új nulladik napi sérülékenységgel támadják az ügyfeleit
A Cisco bejelentette, hogy hackerek egy kritikus sérülékenységet használnak ki a vállalat néhány legnépszerűbb termékében, amely lehetővé teszi az érintett eszközök teljes átvételét. A helyzetet súlyosbítja, hogy jelenleg nem áll rendelkezésre javítás.
Egy biztonsági közleményben a Cisco közölte, hogy december 10-én egy olyan hackerkampányt fedezett fel, amely az AsyncOS szoftvert célozza, különösen a Secure Email Gateway, a Secure Email, valamint a Web Manager fizikai és virtuális berendezéseit. A közlemény szerint az érintett eszközökön engedélyezve van egy „Spam Quarantine” nevű funkció, és ezek az eszközök elérhetők az internetről. A Cisco megjegyezte, hogy ez a funkció alapértelmezés szerint nincs bekapcsolva, és nincs szükség arra sem, hogy az internet felé nyitva legyen, ami kedvező hír. Michael Taggart, a UCLA Health Sciences vezető kiberbiztonsági kutatója elmondta: „Az a követelmény, hogy az eszköznek az internet felől elérhető menedzsmentfelülettel kell rendelkeznie, valamint bizonyos funkcióknak engedélyezve kell lenniük, korlátozza a sérülékenység kihasználásának támadási felületét.”
Kevin Beaumont, egy hackerkampányokat figyelő biztonsági kutató ugyanakkor azt mondta, hogy ez egy különösen problémás támadássorozatnak tűnik, mivel sok nagy szervezet használja az érintett termékeket, nincs elérhető javítás, és nem világos, hogy a hackerek mennyi ideje rendelkeznek hátsó ajtókkal az érintett rendszerekben. A Cisco nem közölte, hogy hány ügyfelet érint a probléma. A Cisco szóvivője, Meredith Corley szerint a vállalat „aktívan vizsgálja az ügyet, és egy végleges megoldás kidolgozásán dolgozik”. A Cisco által jelenleg javasolt megoldás az ügyfelek számára lényegében az érintett termékek szoftverének teljes törlése és újratelepítése, mivel javítás nem áll rendelkezésre. „Megerősített kompromittálódás esetén az eszközök újraépítése jelenleg az egyetlen életképes lehetőség arra, hogy eltávolítsuk a fenyegetést jelentő szereplők tartós jelenlétét biztosító mechanizmust az eszközről” - írta a vállalat.
A kampány mögött álló hackerek a Cisco Talos, a vállalat fenyegetésfelderítéssel foglalkozó kutatócsoportja szerint Kínához és más, ismert kínai kormányzati hackercsoportokhoz köthetők. A Talos egy blogbejegyzést is közzétett a támadássorozatról. A kutatók azt írták, hogy a hackerek ezt a jelenleg nulladik napi sérülékenységnek számító hibát kihasználva tartós hátsó ajtókat telepítenek, és a kampány „legalább november vége óta” zajlik.
Egy biztonsági közleményben a Cisco közölte, hogy december 10-én egy olyan hackerkampányt fedezett fel, amely az AsyncOS szoftvert célozza, különösen a Secure Email Gateway, a Secure Email, valamint a Web Manager fizikai és virtuális berendezéseit. A közlemény szerint az érintett eszközökön engedélyezve van egy „Spam Quarantine” nevű funkció, és ezek az eszközök elérhetők az internetről. A Cisco megjegyezte, hogy ez a funkció alapértelmezés szerint nincs bekapcsolva, és nincs szükség arra sem, hogy az internet felé nyitva legyen, ami kedvező hír. Michael Taggart, a UCLA Health Sciences vezető kiberbiztonsági kutatója elmondta: „Az a követelmény, hogy az eszköznek az internet felől elérhető menedzsmentfelülettel kell rendelkeznie, valamint bizonyos funkcióknak engedélyezve kell lenniük, korlátozza a sérülékenység kihasználásának támadási felületét.”
Kevin Beaumont, egy hackerkampányokat figyelő biztonsági kutató ugyanakkor azt mondta, hogy ez egy különösen problémás támadássorozatnak tűnik, mivel sok nagy szervezet használja az érintett termékeket, nincs elérhető javítás, és nem világos, hogy a hackerek mennyi ideje rendelkeznek hátsó ajtókkal az érintett rendszerekben. A Cisco nem közölte, hogy hány ügyfelet érint a probléma. A Cisco szóvivője, Meredith Corley szerint a vállalat „aktívan vizsgálja az ügyet, és egy végleges megoldás kidolgozásán dolgozik”. A Cisco által jelenleg javasolt megoldás az ügyfelek számára lényegében az érintett termékek szoftverének teljes törlése és újratelepítése, mivel javítás nem áll rendelkezésre. „Megerősített kompromittálódás esetén az eszközök újraépítése jelenleg az egyetlen életképes lehetőség arra, hogy eltávolítsuk a fenyegetést jelentő szereplők tartós jelenlétét biztosító mechanizmust az eszközről” - írta a vállalat.
A kampány mögött álló hackerek a Cisco Talos, a vállalat fenyegetésfelderítéssel foglalkozó kutatócsoportja szerint Kínához és más, ismert kínai kormányzati hackercsoportokhoz köthetők. A Talos egy blogbejegyzést is közzétett a támadássorozatról. A kutatók azt írták, hogy a hackerek ezt a jelenleg nulladik napi sérülékenységnek számító hibát kihasználva tartós hátsó ajtókat telepítenek, és a kampány „legalább november vége óta” zajlik.