Поделиться
США, Канада и Великобритания бьют тревогу из-за атак на Cisco. «Дыры» в нем позволяют перехватывать управление оборудованием
Устаревающие файерволлы Cisco ASA содержат уязвимости, которые позволяют перехватывать контроль над оборудованием. CISA предписывает госорганам США устранить проблемы немедленно, а также избавиться от снятого с поддержки оборудования.
В режиме пожара
Две уязвимости нулевого дня в файерволлах Cisco стали поводом для экстренных бюллетеней национальных центров по реагированию на киберугрозы в США, Великобритании и Канаде. Выявленные «баги» уже находятся под активной эксплуатацией со стороны минимум одного кластера угроз и используются для доставки ранее незадокументированных вредоносов.
Речь идёт об уязвимостях CVE-2025-20362 (оценка по шкале CVSS 6,5 балла) и CVE-2025-20333 (9,9 балла), комбинация которых позволяет обойти аутентификацию и запустить вредоносный код на атакованных устройствах.
В минувший четверг корпорация Cisco объявила о том, что с мая расследует атаки на множественные государственные учреждения, в ходе которых хакеры, аффилированные с неназванным государством, взламывали файерволлы Adaptive Security Appliance (ASA) 5500-X Series и размещали там вредоносный код и иногда крали данные.
Глубокий анализ программных компонентов Cisco Secure Firewall ASA Software с активными службами VPN позволил обнаружить ошибку, приводящую к нарушению целостности памяти устройства.
«Было замечено, что злоумышленники использовали многочисленные уязвимости нулевого дня и применяли продвинутые методы обхода защиты, такие как отключение ведения журнала, перехват команд CLI и преднамеренный сбой устройств для предотвращения диагностического анализа», - указывается в бюллетене вендора.
Кроме того, в некоторых случаях злоумышленники модифицировали ROMMON (Read-Only Memory Monitor - монитор считываемой памяти), отвечающий за управление процессом загрузки и выполнение диагностических тестов на устройствах ASA. Это позволило злоумышленникам сохранять устойчивое присутствие вредоносов после перезагрузок и обновлений программного обеспечения.
Судя по всему, сделать это злоумышленники смогли только на тех устройствах Cisco ASA 5500-X Series, на которых не были задействованы защитные технологии Secure Boot и Trust Anchor. Устройства серии ASA 5500-X, работающие под управлением Cisco Secure Firewall ASA Software версий 9.12 или 9.14, не поддерживают технологии Secure Boot и Trust Anchor.
В Cisco отметили, что все затронутые атаками устройства либо уже сняты с поддержки, либо будут сняты в ближайшие дни.
В частности, версии 5512-X и 5515-X поддерживались до 31 августа 2022 г., 5585-X - до 31 мая 2023 г., а 5525-X, 5545-X и 5555-X будут сняты с поддержки 30 сентября 2025 г.
В компании также сообщили о выявлении и устранении третьей - критической - уязвимости CVE-2025-20363 (8,5/9,0 балла по шкале CVSS), в веб-сервисах Adaptive Security Appliance (ASA), а также Secure Firewall Threat Defense (FTD), IOS, IOS XE и IOS XR, которая могла позволить удаленному злоумышленнику выполнить произвольный код на уязвимом устройстве.
Злоумышленнику понадобится отправить специально созданные HTTP-запросы к целевой веб-службе на уязвимом устройстве, хотя для этого ему сначала придётся получить дополнительную информацию о системе и/или преодолеть средства защиты. В случае успеха злоумышленник сможет выполнить произвольный код с правами root со всеми вытекающими последствиями.
Американский центр по защите инфраструктуры и кибербезопасности CISA выпустил чрезвычайную директиву, согласно которой атакуемые уязвимости должны быть устранены во всех учреждениях исполнительной власти США до полудня 26 сентября по местному времени, а к 30 сентября - избавиться от неподдерживаемых устройств.
«Когда источником угрозы оказывается инструмент, призванный эти угрозы как раз-таки устранять, это всегда приводит к репутационному ущербу для вендора, однако Cisco, как и её клиентам, по-видимому, не привыкать, - отмечает Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. - В любом случае, речь идёт об устройствах, которые вендор обозначает как устаревшие или устаревающие, а такое оборудование - почти гарантированный источник проблем».
Что забрасывали атакующие
По данным Национального центра по кибербезопасности Великобритании (CNSC), наблюдаемые в настоящее время атаки на ASA включают распространение ранее незадокументированных вредоносов RayInitiator и LINE VIPER.
RayInitiator - это GRUB-буткит, устойчивый к перезагрузкам и обновлениям ПО, который используется для установки дополнительных вредоносов, выполнения команд и вывода данных из скомпрометированных устройств.
Буткит встраивает обработчик в легитимный компонент ASA под названием lina (это аббревиатура от Linux-based Integrated Network Architecture), и это позволяет ему загружать второй вредонос.
LINE VIPER - это шеллкод-загрузчик, который может выполнять команды CLI, перехватывать пакеты, обходить аутентификацию, авторизацию и учёт (AAA) VPN для устройств-актор, подавлять сообщения системного журнала, собирать пользовательские команды CLI и принудительно выполнять отложенную перезагрузку.
Специалисты и CISA, и Cisco полагают, что за атаками стоит кластер угроз ArcaneDoor, который атакует госучреждения по всему миру с ноября 2023 года. В начале 2024 г. исследователи Cisco пришли к выводу, что этот кластер связан с китайской APT-группой UAT4356/STORM-1849. Те так же использовали в своих атаках самописный инструментарий, в том числе вредоносы Line Dancer и Line Runner. Line Viper, по-видимому, является их продвинутым деривативом.
Поделиться
Короткая ссылка
