Cisco recunoaște că hackeri exploatează din 2023 o breșă critică din Catalyst SD-WAN, vizând inclusiv infrastructuri critice la nivel global

Cisco anunță că hackeri exploatează de cel puțin trei ani o vulnerabilitate într-unul dintre cele mai populare produse de rețea ale sale, utilizat pe scară largă de mari companii și instituții, fapt care a determinat guvernul Statelor Unite și aliații săi să îndemne organizațiile să ia măsuri imediate.

Vulnerabilitatea, care are un scor maxim de severitate de 10,0, le permite atacatorilor să pătrundă de la distanță în rețelele ce folosesc produsele Catalyst SD-WAN. Aceste soluții sunt utilizate de companii mari și agenții guvernamentale cu numeroase sedii pentru a interconecta rețelele private pe distanțe mari.

Prin exploatarea acestei erori direct prin internet, atacatorii pot obține cel mai înalt nivel de permisiuni asupra acestor dispozitive. Ei își pot menține un acces ascuns și persistent în interiorul rețelei victimei, ceea ce le oferă posibilitatea să spioneze sau să fure date pe perioade îndelungate.

După identificarea vulnerabilității, Cisco a precizat că cercetătorii săi au reușit să urmărească dovezi ale exploatării înapoi până în 2023. Printre organizațiile afectate se numără și unele ce fac parte din infrastructuri critice. Compania nu a oferit detalii concrete, însă termenul de „infrastructură critică” poate acoperi de la rețele de energie electrică și sisteme de alimentare cu apă până la sectorul transporturilor.

Mai multe guverne, inclusiv cele ale Australiei, Canadei, Noii Zeelande, Regatului Unit și Statelor Unite, au emis un avertisment comun în care semnalează că actorii rău intenționați vizează organizații „la nivel global”.

Agenția americană de securitate cibernetică CISA a ordonat tuturor agențiilor federale civile să își actualizeze și să își corecteze sistemele până vineri la sfârșitul zilei, invocând o amenințare iminentă și un risc inacceptabil pentru guvernul federal. Aceeași agenție, care funcționează momentan cu capacitate redusă din cauza unei închideri parțiale a guvernului, a declarat că are cunoștință de exploatări aflate in derulare.

Nici Cisco, nici autoritățile nu au atribuit până acum atacurile unui anumit grup de amenințare sau unui stat, deși au identificat un cluster de activitate sub denumirea UAT-8616.

În decembrie, Cisco a avertizat și în legătură cu o altă vulnerabilitate, tot cu scor maxim de 10,0, în software-ul Async care rulează pe majoritatea produselor sale, vulnerabilitate ce era deja utilizată activ pentru compromiterea rețelelor clienților.