Maliciozna kampanja koja cilja Cisco mrežnu opremu kroz dvije kritične ranjivosti , pri čemu hakeri koje podržava država i drugi hakeri iskorištavaju sisteme bez zakrpa.
GreyNoise Intelligence je identifikovao 110 malicioznih IP adresa koje aktivno iskorištavaju CVE-2023-20198 , grešku u eskalaciji privilegija u Cisco IOS XE uređajima. Također je obnovljena zloupotreba sedmogodišnjeg CVE-2018-0171 ranjivosti povezana sa provalnim provalama u telekomunikacijama.
- CVE-2023-20198 : Aktivno eksploatiše 110 IP adresa koje potiču iz Bugarske (38%), Brazila (27%) i Singapura (19%), a obim napada se utrostručio od oktobra 2024. godine, primetio je GreyNoise .
- CVE-2018-0171 : Dvije IP adrese iz Švicarske i SAD ciljale su na ovu naslijeđenu grešku Smart Install od decembra 2024. do januara 2025., što se poklopilo s telekom napadima Salt Typhoona.
- Aktivnost usklađena sa državom : kineska grupa Salt Typhoon iskoristila je obje ranjivosti da probije pet telekomunikacionih mreža, održavajući pristup više od tri godine u jednom slučaju.
Kampanja Salt Typhoon
Grupa Salt Typhoon (aka RedMike) koju sponzoriše kineska država sistematski cilja na globalne telekom provajdere od 2021. godine, spajajući krađu akreditiva s iskorištavanjem ranjivosti. Nedavni incidenti potvrđuju njihovu upotrebu:
- CVE-2023-20198 : Greška eskalacije privilegija (CVSS 10.0) koja omogućava potpunu kontrolu uređaja preko Ciscovog web korisničkog interface-a.
- CVE-2023-20273 : Ranjivost ubrizgavanja komande (CVSS 7.2) koja omogućava postojanost na korijenskom nivou.
- CVE-2018-0171 : Zakrpljena mana Smart Install RCE i dalje je prisutna u naslijeđenim sistemima.
Između decembra 2024. i januara 2025., Salt Typhoon je iskoristio ove CVE-ove da kompromituje američkog ISP-a, britansku telekom podružnicu i provajdere u Južnoj Africi i Tajlandu.
Cisco Talos je potvrdio da grupa koristi validne akreditive i analizu mrežnih protokola za hvatanje SNMP/TACACS tajni, olakšavajući bočno kretanje kroz multinacionalnu infrastrukturu.
Agencija za sajber sigurnost i infrastrukturnu sigurnost (CISA) objavila je smjernice za rješavanje ranjivosti Cisco IOS XE web korisničkog interface-a, napominjući da je CVE-2023-20198 ranjivost eskalacije privilegija u funkciji web korisničkog interface-a Ciscovog IOS XE softvera koja utiče na fizičke i virtuelne HTTPS uređaje koji imaju funkciju HTTPS servera.
Izvor: CyberSecurityNews
