Критическая уязвимость в Cisco SD-WAN активно эксплуатируется хакерами с 2023 года
Специалисты по кибербезопасности компании Cisco Systems подтвердили, что критическая уязвимость в программном обеспечении для SD-WAN (программно-определяемых глобальных сетей) активно использовалась злоумышленниками в атаках нулевого дня. Эксплойт, получивший идентификатор CVE-2024-20353, позволяет удаленно выполнять произвольный код на уязвимых устройствах, что представляет серьезную угрозу для корпоративных сетей.
По данным исследователей, атаки начались еще в конце 2023 года, однако информация об утечке данных и фактах компрометации стала поступать только сейчас. Злоумышленники использовали сложную цепочку фишинга и внедрения вредоносного ПО для получения первоначального доступа к инфраструктуре жертв. В ряде случаев атаки перерастали в полноценные инциденты с ransomware, когда критически важные данные шифровались с требованием выкупа в крипто.
Уязвимость затрагивает ключевой компонент SD-WAN, отвечающий за управление сетевыми политиками и маршрутизацию. Ее эксплуатация не требует аутентификации, что делает атаки особенно опасными. Компания уже выпустила патчи для всех актуальных версий программного обеспечения и настоятельно рекомендует клиентам немедленно обновить системы.
Эксперты отмечают, что подобные атаки на инфраструктурное ПО становятся все более распространенными. Злоумышленники целенаправленно ищут уязвимости в решениях, которые образуют костяк цифровой трансформации бизнеса. В данном случае под удар попала технология, лежащая в основе гибридных облаков и распределенных офисов.
Интересно, что в расследовании инцидента помогли технологии блокчейн. Аналитики смогли частично отследить перемещения средств, полученных в качестве выкупа, благодаря публичным реестрам транзакций. Однако полная идентификация преступной группы по-прежнему затруднена из-за использования ими миксеров и других инструментов для отмывания криптовалют.
Кибербезопасность сетевой инфраструктуры требует постоянного внимания. Данный случай демонстрирует, что даже решения от ведущих вендоров могут содержать критические изъяны, которые годами остаются незамеченными. Регулярное обновление, сегментация сетей и многофакторная аутентификация остаются базовыми, но эффективными мерами защиты.
Роскомнадзор и Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) рекомендуют российским организациям проверить наличие уязвимого ПО Cisco SD-WAN в своей инфраструктуре. Особое внимание следует уделить компаниям, чья деятельность связана с критической информационной инфраструктурой.
