https://www.informationsecurity.com.tw/seminar/2024_OT/
https://www.informationsecurity.com.tw/seminar/2024_OT/

新聞

思科VPN又爆新漏洞!美日聯合警告思科路由器韌體被改寫

2023 / 10 / 02
編輯部
思科VPN又爆新漏洞!美日聯合警告思科路由器韌體被改寫
影響思科作業系統的漏洞可能使攻擊者能夠完全控制受影響的裝置、執行任意程式碼並導致重新加載,從而觸發拒絕服務 (DoS) 狀況。目前已經發生過一次野外利用嘗試。

思科近日發布訊息,說明影響思科 IOS 和 IOS XE 作業系統的八個漏洞,其中最需要注意的是CVE-2023-20109,這是一個越界寫入漏洞,嚴重程度為 6.6 分。根據思科的安全公告,CVE-2023-20109 已經成為至少一次嘗試利用的目標。

思科目前已發佈軟體更新來解決這些漏洞,並請用戶參閱該公司安全公告以了解更多詳細資訊。資安專家建議用戶立即採取思科提出的緩解策略,並表示如果惡意駭客已有對目標環境的完全存取權限,CVE-2023-20109可以讓駭客橫向移動並提升特權。

CVE-2023-20109 影響 Cisco 的 VPN 功能、群組加密傳輸 VPN (GET VPN)。GET VPN 透過建立一組在群組內共享輪替加密金鑰於單點傳播或多點傳播環境中工作,任何群組成員都可以加密或解密數據,而無需直接點對點連接。

如果攻擊者已經滲透到此類專用網路環境,他們可以透過以下兩種方式之一來利用CVE-2023-20109。他們可以破壞金鑰伺服器並更改發送給群組成員的資料包,也可以建置和安裝自己的金鑰伺服器並重新配置群組成員以與其而不是真正的金鑰伺服器進行通訊。

相關文章:勒索軟體Akira突破思科SSL VPN漏洞,橫掃110個組織,攻擊持續升級

美日聯合警告

同時美國和日本當局就中國國家級 APT組織「BlackTech」(又名 Palmerworm、Temp.Overboard、Circuit Panda 和 Radio Panda)重寫思科路由器韌體以攻擊大型跨國組織發出聯合警告。警告內容表示BlackTech一直在用自己的惡意版本替換設備韌體,以建立持久性並從較小的國際子公司滲透入受影響組織總部。迄今為止,BlackTech攻擊範圍涵蓋政府、工業、技術、媒體、電子和電信領域,並包括「支持美國和日本軍隊的實體單位」、 FBI、網路安全和基礎設施安全局(CISA),以及日本國家警察和網路安全當局。

不過這份警報並未詳細說明影響思科路由器的任何具體漏洞。但提醒,這樣的攻擊手法(TTP)不僅限於思科路由器,類似的技術也可用於在其他網路設備中啟用後門。

資安專家表示,攻擊已經變得更加先進,漏洞很快就會被利用。尤其是邊緣技術,它是攻擊者的理想起點。網路設備永遠不應該發送對外通訊,是此類攻擊防禦的最佳實踐。一旦發現這種情況,網路自動化功能可以確保組態配置在整個網路中可以被驗證和實施,以防止不良行為者執行攻擊。同時,當網路設備上發生任何更改或違反策略時,審核功能可以向網路團隊發出警報,以便他們可以快速將設備恢復到先前的配置。

本文轉載自DarkReading。