Dalış Kılavuzu:
Grinnoise araştırmacıları, iki Cisco güvenlik açığının aktif olarak sömürülmesini gözlemlediler, CVE-2018-0171 Ve CVE-2023-20198Salt Typhoon olarak bilinen Çin ulus-devlet tehdit grubunun son saldırılarında kullanıldığı bildirildi.
Saldırganlar, bu yılın Aralık ve Ocak ayları arasında Cisco IOS ve Cisco IOS XE yazılımının akıllı kurulum özelliğinde bir güvenlik açığı olan CVE-2018-0171’den yararlandı. Cisco Talos araştırmacıları geçen hafta tuz tayfun aktörlerinin kusurdan yararlandığı son bir saldırı gözlemlediklerini, ancak grup tarafından kullanılan Cisco güvenlik açıklarına dair başka bir kanıt bulamadıklarını söyledi.
- Bir tehdit raporu Bu ayın başlarında, Future’ın Insikt Grubu, Aralık ve Ocak ayları arasında, tehdit aktörlerinin kritik bir ayrıcalık artış kırılganlığı olan CVE-2023-20198’i açmamış Cisco cihazlarına karşı kullandığı tuz tayfun saldırıları gözlemlediğini söyledi.
Dalış içgörü:
Grinnoise’in bulguları, tuz tayfuna bağlı tehdit faaliyeti üzerine son araştırmalardır. Çin devlet destekli tehdit grubu birkaç kişiden sorumluydu Yüksek profilli ihlaller AT&T, Verizon ve T-Mobile dahil olmak üzere ABD telekom şirketleri, geçen sonbaharda ilk ortaya çıktı. Bu saldırılarda Salt Typhoon, yüksek değerli bireyler için özel iletişime erişti ve kolluk kuvvetleri ile ilgili veriler elde etti.
Kayıtlı Gelecek Typhoon’un telekom örgütlerine karşı kampanyası Aralık ve Ocak aylarında devam etti. Insikt Group araştırmacıları, tehdit grubunun beş telekom sağlayıcısından ödün verdiğini buldular, ikisi ABD’de, CVE-2023-20198’den yararlanarak ve CVE-2023-20273 başlangıç erişimini kazanmak için.
Bir Blog yazısı Pazartesi günü Greynoise, Cisco güvenlik açıklarına karşı ek tehdit faaliyeti konusunda uyardı. “İki kötü niyetli IPS, Aralık 2024 ve Ocak 2025’te İsviçre ve Amerika Birleşik Devletleri’nden kaynaklanan CVE-2018-0171’den sömürüldü-Çin devlet destekli bir tehdit grubu olan Tuz Typhoon’un telekom ağlarını CVE-2023-20198 kullanılarak ihlal ettiği zamanla aynı dönemde ve CVE-2023-20273, “dedi tehdit istihbarat şirketi.
Grinnoise ayrıca CVE-2023-20198’in açılmamış Cisco cihazlarına karşı son zamanlarda sömürülmesini gözlemledi. Blog yazısına göre, öncelikle Bulgaristan, Brezilya ve Singapur’dan 110 kötü niyetli IPS kusuru hedefledi.
Gözlemlenen tehdit faaliyetlerinin arkasında hangi tehdit aktörlerinin olduğu belli değil. Siber güvenlik dalışına yaptığı açıklamada, şirket CVE-2018-0171 saldırılarının CVE-2023-20198 ve CVE-2023-20273’ün rapor edilen sömürüsü ile örtüştüğünü vurguladı. Bununla birlikte, blog yazısı sömürüyü tuz tayfuna veya herhangi bir özel tehdit aktörüne bağlamadı.
Benzer şekilde Greynoise, CVE-2023-20198’in son sömürüsünün arkasında kimin olduğu belirsiz olduğunu söyledi. Siber güvenlik dalışı, şirkete, ilgili IP adreslerinin sayısı göz önüne alındığında, saldırılardan birden fazla tehdit aktörünün sorumlu olup olmadığını sordu.
Geynoise bir e -postayla, “Bu noktada, kaç tehdit aktörünün dahil olduğunu belirlemek için yeterli kanıtımız yok ve kendimizi rahat hissetmiyoruz.” Dedi.