Dalış Özeti:
- Cisco, devlet bağlantılı bilgisayar korsanlarının casusluk odaklı bir kampanya yürütüyorArcaneDoor adı verilen ve 2023 sonlarına kadar uzanan kötü amaçlı saldırılar için Cisco’nun ve potansiyel olarak diğer şirketlerin çevre ağ cihazlarını hedef alıyor.
- Cisco Talos’un, Cisco Talos’un UAT4356 olarak tanımladığı ve Microsoft’un Storm-1849 olarak takip ettiği tehdit aktörünün, Cisco cihazlarını kullanan küçük bir müşteri grubuna karşı kötü amaçlı arka kapılar açtığını söyledi. tehdit tavsiyesi. Müşteriler Cisco Adaptive Security Appliance yazılımını veya Cisco Firepower Threat Defense yazılımını kullanıyordu.
- Cisco, şu şekilde listelenen güvenlik açıkları için yamalar yayınladı: CVE-2024-20353, CVSS puanı 8,6 olan, Ve CVE-2024-20359, CVSS puanı 6,0 olan, ve müşterilerini sistemlerini derhal güncellemeleri konusunda teşvik ediyor.
Dalış Bilgisi:
Cisco Talos, araştırmacıların ve şirketin ürün güvenliği ekibinin, 2024’ün başlarında Cisco Uyarlanabilir Güvenlik Cihazlarıyla ilgili güvenlik sorunlarıyla ilgili endişelerini dile getiren bir müşteri tarafından uyarıldığını söyledi.
Cisco Talos, ilk soruşturmanın şüpheli etkinliği dünya çapındaki bir grup hükümet ağı müşterisiyle ilişkilendirdiğini söyledi. Soruşturmada aktörlerin kontrol ettiği altyapının Kasım 2023’ten itibaren tespit edildiği ancak test ve geliştirme işlemlerinin Temmuz 2023’e kadar takip edildiği belirtildi.
Araştırmacılar henüz ilk erişim noktalarını çözemediler ancak iki implant belirlediler. Bunlardan ilki, Line Dancer adı verilen bellekte yerleşik bir kabuk kodu yorumlayıcısı, güvenliği ihlal edilmiş bir cihazda komutları yürütmek için kullanıldı. Bilgisayar korsanları kalıcılığı korumak için Line Runner adı verilen ikinci bir arka kapı kullandı.
Cisco Talos bloguna göre, güvenlik ihlali göstergeleri arasında günlüklerdeki boşluklar veya beklenmedik yeniden başlatmalar yer alabilir.
Cisco Talos, ağ telemetrisinden ve yanıt üzerinde çalışan ortaklardan alınan bilgilerin, tehdit aktörlerinin Microsoft ve diğer şirketlerin ağ cihazlarını hedeflemekle ilgilenebileceğini gösterdiğini ekledi.
Bir Cisco sözcüsü, müşterilerin endişelerine yanıt verdikten sonra şirketin daha önce bilinmeyen toplam üç güvenlik açığı tespit ettiğini söyledi. Üçüncü güvenlik açığı şu şekilde listelenmiştir: CVE-2024-20358orta risk olarak kabul edilir.
Siber Güvenlik ve Altyapı Güvenliği Ajansı Çarşamba günü ilk iki CVE’yi listesine ekledi. Bilinen İstismar Edilen Güvenlik Açıkları kataloğu. Kanada Siber Güvenlik Merkezi Tehdit konusunda İngiltere ve Avustralyalı yetkililerle ortak bir tavsiye yayınladı.
Kampanya, devlet bağlantılı olduğundan şüphelenilen bir dizi saldırının sonuncusu. kenar cihazları. Bir dizi yüksek profilli kampanya Ivanti, Citrix ve diğer kuruluşları kullanan müşterileri hedef aldı. Devlet bağlantılı diğer aktörler, Volt Typhoon dahilev ve küçük ofis cihazlarındaki zayıf noktalardan yararlanarak bunları botnet’lere dönüştürdü.
ABD’li ve Japon yetkililer daha önce BlackTech adlı Çin bağlantılı bir tehdit grubunun Cisco ve diğer yönlendiricilerdeki donanım yazılımını kullanarak bu ülkelerdeki şirketlere saldırılar başlattığı konusunda uyarıda bulunmuştu.
Security Scorecard’ın araştırmasına göre Cisco cihazları da 2023’ün sonlarından itibaren Volt Typhoon tarafından hedef alındı.