A Kínához kötődő APT csoport, a Salt Typhoon továbbra is a távközlési szolgáltatókat célozza meg világszerte. A Recorded Future’s Insikt Group jelentése szerint a fenyegetés szereplői további egyesült államokbeli távközlési szolgáltatókat sértettek meg a javítatlan Cisco IOS XE hálózati eszközök kihasználásával.
Kihasznált Cisco biztonsági rések
Az Insikt Group kutatói felfedték, hogy a kínai hackerek két Cisco sebezhetőséget használtak ki:
CVE-2023-20198
CVE-2023-20273
A CVE-2023-20198 részletei
2023 októberében a Cisco nyilvánosságra hozta a CVE-2023-20198 nulladik napi sebezhetőséget 10-es CVSS-pontszámmal. Ezt az IOS XE szoftverben talált hibát aktívan kihasználták támadások során. A Cisco a biztonsági rést a Technical Assistance Center (TAC) több támogatási esetének megoldása során fedezte fel.
A támadó ezt a hibát kihasználva rendszergazdai jogosultságokat szerezhet, és átveheti az irányítást a sebezhető útválasztók felett. A figyelmeztetés kimondta, hogy a kihasználás lehetővé teszi egy távoli, hitelesítés nélküli támadó számára, hogy fiókot hozzon létre az érintett rendszeren 15-ös jogosultsági szintű hozzáféréssel.
A hiba mind a fizikai, mind a virtuális eszközöket érinti, amelyeken engedélyezve van a webes felhasználói felület (Web UI) funkció, és használatban van a HTTP vagy HTTPS Server szolgáltatás.
A CVE-2023-20273 részletei
2023 októberében az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) felvette a CVE-2023-20273 jelet az Ismert Kihasznált Sebezhetőségek katalógusába.
Ez a sérülékenység a webes felhasználói felület egy nem meghatározott hibájához kapcsolódik. A támadó ezt a hibát a CVE-2023-20198 kóddal láncolhatja, hogy megnövelje a root és az implantátumok fájlrendszerbe írásának jogosultságait. A vizsgálat során a Cisco támadásokat talált a CVE-2023-20198 ellen javított rendszerek ellen, ami arra utal, hogy egy második nulladik napi hibát is kihasználtak.
Globális hatás a távközlési hálózatokra
Az Insikt Group folyamatos támadásokról számolt be, amelyek több távközlési hálózatot is megsértettek, többek között:
Internetszolgáltatók (ISP) az Egyesült Államokban és Olaszországban
Egy Egyesült Királysághoz kapcsolódó amerikai távközlési vállalat
Szolgáltatók Dél-Afrikában és Thaiföldön
Elemzésük feltárta, hogy több mint 12 000 Cisco hálózati eszköz fedte fel a webes felhasználói felületet. Bár több mint 1000 eszközt céloztak meg, ez a szám csak a kitett eszközök 8%-át tette ki, ami a távközlési szolgáltatókat célzó kampányt jelzi.
