Cisco, büyük işletmeler tarafından yaygın olarak kullanılan bir ağ ürünündeki bir hatayı üç yıldır istismar eden siber saldırganların varlığına dikkat çekti. Bu durum, ABD hükümeti ve müttefiklerinin kuruluşları acil önlem almaya çağırmasına neden oldu.
10.0 puanla maksimal düzeyde bir güvenlik açığına sahip bu hatayla, siber saldırganlar Catalyst SD-WAN ürünlerini kullanan ağlara uzaktan girebiliyor. Bu ürünler, çok sayıda ofisi bulunan büyük şirketler ve devlet kurumlarının özel ağlarını uzak mesafelere bağlamalarını sağlıyor.
Hatanın internet üzerinden istismar edilmesi, saldırganların bu cihazlar üzerindeki en yüksek izin seviyesine erişim elde etmesine ve hedef ağlarda gizli bir şekilde kalıcı erişim sağlamasına yol açıyor. Bu durum, veri çalma veya casusluk gibi faaliyetleri uzun süre boyunca gerçekleştirmelerine imkan tanıyor.
Cisco, hatayı keşfettikten sonra araştırmacılarının 2023 yılına kadar uzanan istismar izlerini takip ettiğini bildirdi. Etkilenen kuruluşların bazıları kritik altyapı olarak nitelendiriliyor. Şirket, spesifik bilgiler vermemekle birlikte, “kritik altyapı” teriminin elektrik şebekeleri, su temini ve ulaşım sektörünü kapsayabileceğini belirtti.
Avustralya, Kanada, Yeni Zelanda, Birleşik Krallık ve Amerika Birleşik Devletleri dahil olmak üzere birkaç hükümet, tehdit aktörlerinin kuruluşları “küresel” olarak hedef aldığına dair bir uyarıda bulundu.
ABD siber güvenlik ajansı CISA, sivil federal ajansların sistemlerini hızlı bir şekilde güncellemelerini emretti. Bunun nedeni, federal hükümet için kabul edilemez bir risk teşkil eden ve acil bir tehdit oluşturan bu güvenlik açığıydı. Şu anda kısmi bir hükümet kapatma nedeniyle kısıtlı kapasitede çalışan federal siber güvenlik ajansı, devam eden istismar olaylarının farkında olduğunu bildirdi.
Ne Cisco ne de hükümetler, bu saldırıları belirli bir tehdit grubuna veya devletine atfetmedi, ancak saldırı faaliyetlerini UAT-8616 olarak adlandırılan bir grupta izlediler.
Aralık ayında Cisco, ürünlerinin çoğunu çalıştıran Async yazılımındaki benzer şekilde 10.0 puanlık bir güvenlik açığı konusunda uyarıda bulunmuştu. Bu açık, müşterilerin ağlarına sızmak için aktif bir şekilde kullanılıyordu.
