Újabb Cisco zero-day sérülékenységgel támadtak a hackerek

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

A Mandiant egy blogbejegyzésben írta le, hogy egy támadó az év elején kihasználta a Cisco egy korábban ismeretlen és még nem javított sebezhetőségét, hogy behatolhasson egy távközlési szolgáltató rendszerébe, és megszerezze a lehetséges legmagasabb szintű hozzáférést. A Cisco azóta kijavította a hibát, amely egyike volt az idei év hét nulladik napi sérülékenységeinek az SD-WAN szoftverében. Ezt jellemzően olyan szervezetek használják, akik szerteágazó hálózatot üzemeltetnek, mint például a több bankfiókot üzemeltetető bankok.

A blogbejegyzésben a Google tulajdonában lévő kiberbiztonsági cég kifejtette, hogy a támadó (vagy támadók) root-szintű hozzáférést felhasználva széles körű és észrevétlen betekintést nyerhetett a szolgáltató teljes vállalati hálózatán futó adatforgalomba. A tényleges kár felmérése, illetve a támadó/k kilétének felfedése azonban nem volt sikeres, mivel a tettesek sikeresen el tudták rejteni tevékenységüket. Az eset továbbá rávilágított arra, hogy a hackerek a perifériás eszközöket is előszeretettel támadják. Ez az elmúlt időszakban egyre gyakoribb, és fontos szerepet játszott néhány igazán súlyos adatbiztonsági incidensben is,továbbá a CISA idén ezért utasította a szövetségi ügynökségeket, hogy fordítsanak rájuk kifejezetten nagy figyelmet.

A vállalat az érintett szolgáltató nevét nem hozta nyilvánosságra. Kelli Vanderlee, a Google Threat Intelligence Group vezető menedzsere a CyberScoopnak adott nyilatkozatában elmondta, hogy a perifériás-eszközök sérülékenységeinek kihasználása és a kiterjedt nyomozásgátló tevékenységek összhangban állnak a korábban ismert kiberkémkedési módszerekkel. A vállalat még az érintett szolgáltató nevét sem hozta nyilvánosságra.

A szolgáltató elleni támadások két hullámban voltak megfigyelhetők. Az elsőt 2025 vége és 2026 eleje között észlelték, az akkor még nem javított két sérülékenység (CVE-2026-20127 vagy CVE-2026-20182) kihasználásával – jogosulatlan peering kapcsolatokat létesített az SD-WAN Manager eszközeivel, így igazolva a kapcsolat hitelességét és bizalmi viszonyt kialakítva. Bejutás után a támadó megkönnyítette a hozzáférését, és ezt kihasználva megváltoztatta az alapértelmezett fiókjelszavakat, abban a reményben, hogy így elkerüli a felderítést. Ezután kihasználta a Cisco Catalyst SD-WAN Manager sebezhetőségét (CVE-2026-20245), és létrehozott egy „troot” nevű hamis felhasználói fiókot, amelynek teljes root-szintű hozzáférést biztosított.

„2026. június 4-én a Cisco biztonsági közleményt tett közzé a Cisco Catalyst SD-WAN Manager jogosultság-kiterjesztési sebezhetőségéről” – mondta a Cisco szóvivője. „A Cisco határozottan javasolja ügyfeleinek, hogy frissítsenek a közleményben ismertetett, a hibát kijavító szoftververzióra.”