Ağ satıcısı Cisco, Adaptive Security Appliance (ASA) ve Firepower Threat Defense (FTD) işletim sistemlerini çalıştıran cihazlarda karmaşık arka kapılar keşfetti. Bilinmeyen saldırganlar Ocak ayından bu yana önceden bilinmeyen sıfır gün güvenlik açıklarını kullanarak seçilmiş kurbanlara saldırıyor; ancak bazı ayrıntılar hâlâ belirsizliğini koruyor. Cisco güncellemeler sağlar, yöneticilerin gelişmeleri takip etmesi gerekir.
Duyuru
Cisco tarafından “Line Runner” ve “Line Dancer” lakaplı arka kapılar, henüz bilinmeyen bir yöntemle cihazlara giriyor: Cisco'nun güvenlik departmanı, saldırganların kurbanlarının yönetici kimlik bilgilerini mi ele geçirdiğini yoksa bu bilgileri kötüye mi kullandıklarını henüz öğrenemedi. onlara başka bir güvenlik açığı.
Ancak açık olan şey, CVE-2024-20353 (CVSS 8.6, risk”) güvenlik açığı sayesindeyüksek“) ZIP arşivindeki cihazlara yükledikleri kötü amaçlı kodun yürütülmesine neden olmayı başardılar. Daha sonra başka bir güvenlik açığı olan CVE-2024-20359'u (CVSS 6.0, risk “) kullanarak etkilenen cihazın güvenliğini ihlal ettiler.yüksek“) yeniden başlatmak ve arka kapının cihazınıza kalıcı olarak yüklendiğinden emin olmak için.
Casusluk amacı taşıyan bilinmeyen saldırganlar
Saldırının arkasında kimin olduğu henüz belli değil: Cisco, son derece detaylı teknik bilgiye sahip, misyonu casusluk olan, devlet destekli aktörlerden şüpheleniyor. Cisco uzmanlarına göre bu, saldırının geniş bir cephede gerçekleşmediği, yalnızca belirli hedefleri hedef aldığı gerçeğiyle de doğrulanıyor.
Ağ ekipmanı üreticisi, “UAT4356” kod adını verdiği (Microsoft terminolojisinde “STORM-1849”) saldırganların eylemlerini, aynı zamanda güvenlik ihlali göstergelerini (IoC), yani güvenlik ihlali kanıtlarını da içeren ayrıntılı bir blog gönderisinde açıkladı. .
İki güvenlik raporu ayrıca potansiyel olarak savunmasız cihazlara yönelik güncellemeler hakkında bilgi içerir: CVE-2024-20353 ve CVE-2024-20359 için birer öneri.
Son zamanlarda güvenlik duvarlarında plansız yeniden başlatmalar da dahil olmak üzere garip davranışlar gözlemleyen yöneticilerin acilen cihazları daha yakından incelemesi, güncellemeleri uygulaması ve Cisco tarafından belirtilen karşı önlemleri alması gerekir.
Dünden bu yana Haberler Security Pro uzman forumunda bu konu üzerinde bir tartışma yapılıyor. Orada güvenlik yöneticileri karşı önlemleri tartışabilirler.
(cku)
Haberin Sonu
Duyuru
Cisco tarafından “Line Runner” ve “Line Dancer” lakaplı arka kapılar, henüz bilinmeyen bir yöntemle cihazlara giriyor: Cisco'nun güvenlik departmanı, saldırganların kurbanlarının yönetici kimlik bilgilerini mi ele geçirdiğini yoksa bu bilgileri kötüye mi kullandıklarını henüz öğrenemedi. onlara başka bir güvenlik açığı.
Ancak açık olan şey, CVE-2024-20353 (CVSS 8.6, risk”) güvenlik açığı sayesindeyüksek“) ZIP arşivindeki cihazlara yükledikleri kötü amaçlı kodun yürütülmesine neden olmayı başardılar. Daha sonra başka bir güvenlik açığı olan CVE-2024-20359'u (CVSS 6.0, risk “) kullanarak etkilenen cihazın güvenliğini ihlal ettiler.yüksek“) yeniden başlatmak ve arka kapının cihazınıza kalıcı olarak yüklendiğinden emin olmak için.
Casusluk amacı taşıyan bilinmeyen saldırganlar
Saldırının arkasında kimin olduğu henüz belli değil: Cisco, son derece detaylı teknik bilgiye sahip, misyonu casusluk olan, devlet destekli aktörlerden şüpheleniyor. Cisco uzmanlarına göre bu, saldırının geniş bir cephede gerçekleşmediği, yalnızca belirli hedefleri hedef aldığı gerçeğiyle de doğrulanıyor.
Ağ ekipmanı üreticisi, “UAT4356” kod adını verdiği (Microsoft terminolojisinde “STORM-1849”) saldırganların eylemlerini, aynı zamanda güvenlik ihlali göstergelerini (IoC), yani güvenlik ihlali kanıtlarını da içeren ayrıntılı bir blog gönderisinde açıkladı. .
İki güvenlik raporu ayrıca potansiyel olarak savunmasız cihazlara yönelik güncellemeler hakkında bilgi içerir: CVE-2024-20353 ve CVE-2024-20359 için birer öneri.
Son zamanlarda güvenlik duvarlarında plansız yeniden başlatmalar da dahil olmak üzere garip davranışlar gözlemleyen yöneticilerin acilen cihazları daha yakından incelemesi, güncellemeleri uygulaması ve Cisco tarafından belirtilen karşı önlemleri alması gerekir.
Dünden bu yana Haberler Security Pro uzman forumunda bu konu üzerinde bir tartışma yapılıyor. Orada güvenlik yöneticileri karşı önlemleri tartışabilirler.
(cku)
Haberin Sonu