Gruba afera. Ktoś od 3+ lat infekował na całym świecie firmy o wysokim znaczeniu strategicznym oraz infrastrukturę krytyczną.

Chodzi o podatność CVE-2026-20127 w Cisco SD-WAN (Software Defined WAN) – coś, co służy do bardziej sprytnego / tańszego budowania sieci WAN w dużych firmach.

Wykorzystanie luki następowało z poziomu Internetu, nie wymagało uwierzytelnienia, a hackerzy uzyskiwali dostęp na wysoko uprawnionego użytkownika. Następnie robili downgrade oprogramowania i wykorzystywali kolejną, starą lukę (CVE-2022-20775), która finalnie dawała im pełen dostęp (root). W ten sposób mogli utrzymywać dostęp latami.

Talos klasyfikuje atakującego jako „UAT-8616”, którego klasyfikujemy z dużym prawdopodobieństwem jako APT. Po odkryciu aktywnej eksploatacji luki 0-day, udało nam się znaleźć dowody na to, że złośliwa aktywność miała miejsce co najmniej trzy lata temu (2023) (…) Próba wykorzystania tych luk wskazuje na utrzymującą się tendencję cyberprzestępców do atakowania urządzeń brzegowych sieci w celu uzyskania trwałej obecności w organizacjach o dużej wartości, w tym w sektorach infrastruktury krytycznej.

Amerykańska agencja CISA wydała szereg pilnych rekomendacji – zarówno dotyczących analizy swoich sieci jak i łatania. Jeśli używasz SD-WAN od Cisco, warto przyjrzeć się temu dokumentowi – exploitacja prawdopodobnie cały czas trwa.

Na koniec wartościowa analiza dla osób spragnionych technicznych szczegółów: Cisco SD-WAN Threat Hunt Guide. Dokument został opublikowany przez australijski rząd (prawdopodobnie to właśnie Australia jako pierwsza wykryła aktywność, o której piszemy w tym wpisie).

~Michał Sajdak