Egyre komolyabb a fenyegetés, amit a Cisco sebezhetőségei okoznak a globális távközlési szektorban. A kínai Salt Typhoon hackercsoport továbbra is aktívan célba veszi a távközlési szolgáltatókat világszerte, és most újabb amerikai távközlési cégeket tört fel, nem frissített Cisco IOS XE eszközökön keresztül. A Recorded Future Insikt Group fenyegetéskutató részlege szerint a Salt Typhoon csoport két sebezhetőséget használt ki: a CVE-2023-20198 privilégium-növelést és a CVE-2023-20273 Web UI parancs injekciót, hogy hozzáférjen a célzott hálózatokhoz.
A támadások már több távközlési szolgáltatónál is kompromittálták a hálózatokat, köztük egy amerikai internetszolgáltatót, egy az Egyesült Királysághoz tartozó amerikai távközlési leányvállalatot, egy dél-afrikai szolgáltatót, egy olasz internetszolgáltatót, valamint egy thaiföldi távközlési nagyvállalatot. A kutatók szerint több Cisco eszközt találtak a támadás során, amelyek a Salt Typhoon által irányított szerverekkel kommunikáltak a Generic Routing Encapsulation (GRE) alagúton keresztül, biztosítva a folyamatos hozzáférést.
A támadások 2024 decemberétől 2025 januárjáig több mint 1 000 Cisco hálózati eszközt céloztak meg, amelyből több mint fele az Egyesült Államokból, Dél-Amerikából és Indiából származott. Az Insikt Group több mint 12 000 olyan Cisco eszközt azonosított, amelyek webes felületei közvetlenül hozzáférhetőek voltak az interneten. Azonban a kutatók hangsúlyozták, hogy a támadások célzottak voltak, mivel a 1 000-es szám csupán a 8%-át jelenti azoknak az eszközöknek, amelyekhez a hackerek hozzáfértek.
A két sebezhetőség, amelyet a Salt Typhoon kihasznált, nem új: két évvel ezelőtt a CVE-2023-20198 és CVE-2023-20273 biztonsági hibák több mint 50 000 Cisco IOS XE eszközt érintettek, és lehetővé tették a hátsó ajtós malware telepítését jogosulatlan hozzáféréssel rendelkező fiókokon keresztül. A Five Eyes nemzetközi biztonsági szervezet 2023 novemberi ajánlása szerint ezek a hibák a leggyakrabban kihasznált sebezhetőségek közé tartoztak.
Az Insikt Group figyelmezteti a hálózati adminisztrátorokat, hogy sürgősen alkalmazzák a rendelkezésre álló biztonsági javításokat, és kerüljék el a nem szükséges szolgáltatások közvetlen internetes hozzáférését. A Cisco szóvivője megerősítette, hogy az érintett vállalatok számára már kiadták a megfelelő frissítéseket, és hangsúlyozta, hogy a biztonsági réseket mielőbb be kell foltozni.
Ezek a támadások egy szélesebb körű kiberháborús kampány részét képezik, amelyet az FBI és a CISA is megerősített, és amely már több tucatnyi ország távközlési szolgáltatóit érintette. A Salt Typhoon hackercsoport, amelyet más néven FamousSparrow, Ghost Emperor, Earth Estries és UNC2286 néven is ismernek, már 2019 óta támadja a távközlési cégeket és kormányzati szervezeteket.
Forrás: Chinese hackers breach more US telecoms via unpatched Cisco routers
