Поделиться
Китайские хакеры начали использовать 10-балльную уязвимость в Cisco. О ней известно уже два года
Баг CVE-2023-20198, степень угрозы от которого составляет 10 из 10 возможных, оказался излюбленным инструментом группировки Salt Typhoon, предположительно аффилированной с властями Китая. Атаки обнаружились спустя продолжительное время.
Зайти и остаться
Канадский Центр по кибербезопасности и ФБР США опубликовали совместный бюллетень, в котором утверждается, что аффилированная со спецслужбами APT-группа Salt Typhoon атаковала крупную телекоммуникационную компанию. Операторы Salt Typhoon использовали критическую уязвимость в ПО Cisco IOS XE (CVE-2023-20198) для взлома трех сетевых устройств, принадлежащих канадской телеком-компании.
CVE-2023-20198 - это десятибалльный «баг», выявленный во второй половине 2023 г., когда его уже вовсю эксплуатировали. Уязвимость допускала создание высокопривилегированного аккаунта в программной оболочке удаленно и без какой-либо аутентификации. Затем злоумышленник мог использовать его для получения полного контроля над уязвимой системой - физической или даже виртуальной.
Первый случай эксплуатации был отмечен 18 сентября 2023 г.
Между тем, атаки начались значительно раньше: хакеры получили доступ к файлам настроек сетевых устройств в инфраструктуре канадского телекома в середине февраля этого г.
Им удалось открыть GRE-туннель (Generic Routing Encapsulation - протокол туннелирования сетевых пакетов, разработанный Cisco Systems) и тем самым обеспечить себе возможность перехвата трафика во внутренней сети компании. Эти данные затем могли быть использованы для дальнейшей разведки сетевого окружения и взлома новых целей.
Канадский Центр по кибербезопасности и ФБР в своем бюллетене указывают, что атаки с высокой долей вероятности произведены не только на телеком, но и на представителей других отраслей.
В дополнение к этому
Ранее компания Recorded Future исследовала случаи эксплуатации и CVE-2023-20198, и другого «бага» - CVE-2023-20273. Он позволяет осуществлять инъекцию команд с административными привилегиями без авторизации.
По данным Recorded Future, эти уязвимости использовались в ходе атак на устройства Cisco в США, в ЮАР, в Италии и Тайланде. Во всех случаях целью были телекоммуникационные компании.
Злоумышленники разворачивали GRE-туннели и в течение непродолжительного времени выводили оттуда данные.
Атаки носили очень активный и частый характер: между 4 декабря 2024 и 23 января 2025 гг. злоумышленники смогли вскрыть не менее 1000 устройств Cisco.
«Эта статистика демонстрирует, главным образом, что даже у телеком-операторов возникают проблемы с отслеживанием критических уязвимостей, каким бы шумом ни сопровождалось их обнародование», - отмечает Никита Павлов, эксперт по информационной безопасности компании SEQ. «Вероятно, единственным рабочим вариантом могло бы стать автоматическое накатывание обновлений со стороны вендора по защищенному каналу. Это в теории позволило бы снизить вероятность, что где-то в гигантских сетях затеряются один-два старых роутера, и хакеры «совьют там гнездо»».
Эксперт также напомнил о существовании инструментов инвентаризации сетевого оборудования, которые позволяют находить проблемные устройства и устанавливать на них обновления.
Поделиться
Короткая ссылка
