Поделиться
Китайская хакерская группа атакует неисправленную «дыру» в Cisco
Уязвимость в Cisco Secure Email Gateway и Secure Email and Web Manager позволяет запускать произвольные команды, и предположительно китайская APT-группа использует это для установки нескольких бэкдоров.
Извините, с патчем не успели
Корпорация Cisco уведомила своих клиентов об обнаружении активно эксплуатируемой уязвимости в операционной системе AsyncOS. Уязвимость CVE-2025-20393 получила максимальную оценку по шкале угроз CVSS Version 3.x. Патча к ней к настоящему времени нет.
«Баг» непосредственно затрагивает два продукта Cisco - Secure Email Gateway (SEG) и Secure Email and Web Manager (SEWM), как в аппаратном, так и в программном исполнениях. Уязвимость, впрочем, проявляется только в тех из них, где настройки отличаются от стандартных. В частности, где активирована функция Spam Quarantine, и доступ к ней возможен из интернета.
«Это сразу указывает на непосредственно уязвимый компонент, а также то, что атаки возможным главным образом из-за серьёзного недочёта в киберзащите в сетях пострадавших, - считает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Компоненты, подобные Spam Quarantine в принципе не стоит оставлять доступным извне и без защиты файерволлом».
Специалисты собственного подразделения по исследованию угроз Cisco - Talos - полагают, что за текущими атаками стоит китайский кластер, условно обозначенный как UAT-9686.
Атакующие используют уязвимость для выполнения произвольных команд с root-полномочиями, и в конечном счёте стремятся установить целый ворох вредоносных программ. В их числе - устойчивый к перезагрузкам бэкдор AquaShell, туннельные импланты Aqua Tunnel и Chisel (последний выполняет функции обратного SSH-туннеля) и средство очистки логов AquaPurge.
Некоторые из этих инструментов ранее использовали группы, которые, как считается, поддерживаются китайскими спецслужбами, - UNC5174 и APT41.
В Talos отметили, что UAT-9686, по-видимому, использует не только те же инструменты, что и другие китайские кластеры, но и ту же инфраструктуру.
Атаки были впервые отмечены 10 декабря, но, по-видимому, начались они примерно двумя неделями раньше.
Рекомендации по самозащите
Пока в Cisco готовят патчи, компания рекомендует администраторам минимизировать внешний доступ к уязвимым устройствам: в частности, перекрыть его из внешних сетей за вычетом доверенных хостов, и установить файерволлы перед ними.
Администраторам также рекомендовано разграничить функции управления сетью и обработки электронной почты, а также постоянно мониторить состояние системных логов на предмет нежелательной активности.
Сверх этого рекомендовано деактивировать все службы, в которых нет актуальной необходимости, внедрить наиболее эффективные методы аутентификации, такие как SAML или LDAP, использовать сертификаты SSL или TLS для защиты управляющего трафика и сменить пароли.
Если восстановить настройки устройств до безопасного состояния не представляется возможным, а компрометация всё-таки случилась, единственный способ избавиться от бэкдоров - полная переустановка программной оболочки. Других путей, к сожалению, нет.
Поделиться
Короткая ссылка
