На прошлой неделе в сети появился PoC-эксплоит для уязвимости, исправленной еще в прошлом году, и теперь маршрутизаторы Cisco ASA и брандмауэры FTD подвергаются атакам со стороны хакеров и ИБ-исследователей.

Атаки начались после того, как специалисты компании Positive Technologies опубликовали в Twitter простой PoC-эксплоит для XSS-проблемы CVE-2020-3580, которую компания обнаружила и помогла исправить в октябре прошлого года.

Всего через час после этой публикации исследователь Positive Technologies Михаил Ключников сообщил, что PoC уже используется багхантерами для поиска точек входа в корпоративные сети, о чем некоторые из них сообщали компаниям в надежде на получение bug bounty.

Но эксплоит заинтересовал не только исследователей. К примеру, компания Tenable сообщает, что получила как минимум одно сообщение об эксплуатации данного бага злоумышленниками.

К счастью, CVE-2020-3580 не так опасна, как некоторые прошлые недостатки в продуктах Cisco. Дело в том, что для эксплуатации этой проблемы нужно заставить пользователя с правами администратора перейти по вредоносной ссылке, а такой сценарий явно исключает массовое использование бага. Но в случае успешной атаки CVE-2020-3580 позволяет выполнить вредоносный код в панели управления ASA и FTD с правами администратора.

Также стоит отметить, что в мае 2021 года старые устройства Cisco подверглись еще одной серии атак. Вредоносная кампания, обнаруженная специалистами Lumen, была нацелена на устройства с включенным протоколом Smart Install, доступные через интернет.

Используя старую уязвимость CVE-2018-0171, неизвестный хактивист получил доступ к уязвимым девайсам и переписал их файлы конфигурации, добавив к ним текст антизападного манифеста, что привело к сбою механизмов маршрутизации устройств.

По данным исследователей, эта атака затронула около 100 из 18000 устройств Cisco, все еще уязвимых для ошибки 2018 года, при этом большинство жертв находились в США.

Оставить мнение