- 13,854
- 20
- 8 Ноя 2022
Массовый взлом устройств Cisco готовит почву для кибервойны.
По Для просмотра ссылки Войдиили Зарегистрируйся команды STRIKE компании SecurityScorecard , хакеры из группы Volt Typhoon, связанной с китайским правительством, получили постоянный доступ к маршрутизаторам Cisco RV320/325, продажи которых прекратились в 2019 году.
Злоумышленники используют две уязвимости в веб-интерфейсе управления маршрутизаторов Cisco Small Business RV320 и RV325 Dual Gigabit WAN VPN, обе были добавлены в каталог CISA Для просмотра ссылки Войдиили Зарегистрируйся (KEV):
Уязвимости затрагивают устройства RV320 и RV325 с версией ПО 1.4.2.15–1.4.2.20. Полное исправление поступило в версии прошивки 1.4.2.22, однако не все администраторы уделили должное внимание к обновлению устаревших устройств.
По оценкам специалистов STRIKE, за 37 дней хакеры скомпрометировали около 30% устройств. Команда наблюдала частые соединения между скомпрометированными устройствами и инфраструктурой Volt Typhoon с 1 декабря 23 по 7 января 2024 года, что позволяет предположить очень активное присутствие.
Исследователи также обнаружили веб-шеллы на взломанных маршрутизаторах, установленные хакерами для дальнейшего контроля систем. Есть признаки того, что Volt Typhoon готовит новую инфраструктуру для атак на активы правительств США, Великобритании и Австралии.
Исследователи также указывают на активную подготовку Volt Typhoon к новым атакам, в том числе на цели в США и у союзников. Они обнаружили связь 325 из 1 116 потенциальных целей с IP-адресами, ранее идентифицированными как прокси, используемые Volt Typhoon.
Эксперты считают, что успех этой кампании связан с тем, что злоумышленники нацелились на устаревшее оборудование, которому часто не уделяют должного внимания. Подобные атаки могут стать популярным трендом в киберпреступном сообществе.
По Для просмотра ссылки Войди
Злоумышленники используют две уязвимости в веб-интерфейсе управления маршрутизаторов Cisco Small Business RV320 и RV325 Dual Gigabit WAN VPN, обе были добавлены в каталог CISA Для просмотра ссылки Войди
- Для просмотра ссылки Войди
или Зарегистрируйся (оценка CVSS: 7.5): Для просмотра ссылки Войдиили Зарегистрируйся неаутентифицированному удаленному злоумышленнику получить конфиденциальную информацию. Ошибка связана с неправильным контролем доступа к URL-адресам. Киберпреступник может воспользоваться недостатком, подключившись к уязвимому устройству через HTTP/HTTPS и запросив определенные URL-адреса. Успешная эксплуатация позволяет атакующему загрузить конфигурацию маршрутизатора или подробную диагностическую информацию.
- Для просмотра ссылки Войди
или Зарегистрируйся (оценка CVSS: 7.2): Для просмотра ссылки Войдиили Зарегистрируйся удаленному злоумышленнику, прошедшему проверку подлинности и имеющему права администратора на уязвимом устройстве, выполнять произвольные команды. Уязвимость связана с неправильной проверкой вводимых пользователем данных. Киберпреступник может воспользоваться уязвимостью, отправив вредоносные запросы HTTP POST к веб-интерфейсу управления уязвимого устройства. Успешный эксплойт позволяет злоумышленнику выполнять произвольные команды в базовой оболочке Linux от имени root-пользователя.
Уязвимости затрагивают устройства RV320 и RV325 с версией ПО 1.4.2.15–1.4.2.20. Полное исправление поступило в версии прошивки 1.4.2.22, однако не все администраторы уделили должное внимание к обновлению устаревших устройств.
По оценкам специалистов STRIKE, за 37 дней хакеры скомпрометировали около 30% устройств. Команда наблюдала частые соединения между скомпрометированными устройствами и инфраструктурой Volt Typhoon с 1 декабря 23 по 7 января 2024 года, что позволяет предположить очень активное присутствие.
Исследователи также обнаружили веб-шеллы на взломанных маршрутизаторах, установленные хакерами для дальнейшего контроля систем. Есть признаки того, что Volt Typhoon готовит новую инфраструктуру для атак на активы правительств США, Великобритании и Австралии.
Исследователи также указывают на активную подготовку Volt Typhoon к новым атакам, в том числе на цели в США и у союзников. Они обнаружили связь 325 из 1 116 потенциальных целей с IP-адресами, ранее идентифицированными как прокси, используемые Volt Typhoon.
Эксперты считают, что успех этой кампании связан с тем, что злоумышленники нацелились на устаревшее оборудование, которому часто не уделяют должного внимания. Подобные атаки могут стать популярным трендом в киберпреступном сообществе.
- Источник новости
- www.securitylab.ru
