Киберагентство США выпустило чрезвычайную директиву на фоне крупной хакерской кампании, нацеленной на Cisco

Автор Naveen Athrappully via The Epoch Times (выделено нами),

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустило чрезвычайную директиву, в которой просит федеральные агентства принять незамедлительные меры для выявления и смягчения уязвимостей системы для защиты своих устройств от взлома. крупная хакерская кампания, Об этом говорится в заявлении агентства от 25 сентября.

Член хакерской группы Red Hacker Alliance, использующий веб-сайт, который отслеживает глобальные кибератаки на своем компьютере в Дунгуане, провинция Гуандун, Китай, 4 августа 2020 года. Nicolas Asfouri/AFP с помощью Getty Images

"Эта широкомасштабная кампания представляет значительный риск для сетей жертв, используя уязвимости нулевого дня, которые сохраняются благодаря перезагрузкам и обновлениям системы.- сказал CISA.

Уязвимости нулевого дня относятся к неизвестным или неустраненным недостаткам безопасности в компьютерном оборудовании, прошивке или программном обеспечении. Такие уязвимости называются «нулевым днем», поскольку у программного обеспечения или устройства с такими недостатками нет дней, чтобы исправить проблему, что позволяет хакерам немедленно использовать их.

Согласно директиве, По оценкам Cisco, хакерская кампания связана с угрозой со стороны ArcaneDoor.

В сообщении, опубликованном в мае 2024 года компанией Censys, занимающейся компьютерной и сетевой безопасностью, говорится, что расследование IP-адресов, контролируемых ArcaneDoor, предполагает «потенциальное участие действующего лица, базирующегося в Китае, включая ссылки на несколько крупных китайских сетей и наличие разработанного Китаем антицензурного программного обеспечения. "

Четыре из пяти IP-хостов, проанализированных Censys, были найдены в Китае, а некоторые связаны с китайским конгломератом Tencent и китайской телекоммуникационной компанией ChinaNet.

"Такие сети, как Tencent и ChinaNet, имеют обширный охват и ресурсы, поэтому они будут иметь смысл в качестве выбора инфраструктуры для сложной глобальной операции, такой как эта.- сказал Цензис в своем посте.

В заявлении от 25 сентября Cisco заявила, что в мае несколько правительственных учреждений оказали поддержку расследованию атак, направленных на устройства ASA компании.

Компания заявила, что она «высоко уверена», что хакерская деятельность была связана с ArcaneDoor.

"Cisco с высокой уверенностью оценивает, что обновление до фиксированного релиза программного обеспечения разорвет цепочку атак злоумышленника и настоятельно рекомендует всем клиентам перейти на фиксированные выпуски программного обеспечения.- сообщила компания.

Директива CISA появилась после того, как Крис Бутера, исполняющий обязанности заместителя исполнительного помощника директора агентства по кибербезопасности, обсудил помощь организациям в борьбе с растущим числом уязвимостей во время панельной дискуссии 25 сентября, проведенной медиа-компанией FedScoop.

Бутера обсудил каталог известных эксплуатируемых уязвимостей (KEV), который CISA использует для определения приоритетов системных уязвимостей, требующих исправления.

«В прошлом году число опубликованных уязвимостей увеличилось до более чем 40 000. Поэтому для любой организации попытаться отследить и исправить 40 000 различных уязвимостей в своей ИТ-экосистеме - очень сложная задача.

"Мы должны сделать гораздо больше с автоматизацией, и я думаю, что именно здесь ИИ может прийти и помочь с некоторыми частями автоматизации.

«В федеральном пространстве у нас были отличные результаты: более 99 процентов KEV, подключенных к Интернету, были быстро исправлены нашими федеральными агентствами. "

Эксплуатация CISCO устройства

Чрезвычайная директива CISA была выпущена из-за угрозы, направленной на Cisco Adaptive Security Appliances (ASA).

Cisco ASA - это семейство устройств безопасности брандмауэра, которое предлагает пользователям «высокозащищенный доступ к данным и сетевым ресурсам». Уязвимости на устройствах ASA позволяют злоумышленникам получать доступ к пользовательским данным.

В директиве CISA просила федеральные агентства учитывать все устройства Cisco ASA и Firepower, собирать криминалистические данные и анализировать любые компромиссы с использованием процедур и инструментов, предоставляемых CISA.

Учреждения обязаны «отключать устройства прекращения поддержки и обновлять те, которые останутся в эксплуатации к 11:59 вечера по восточному времени 26 сентября 2025 года», говорится в заявлении.

Устройства конечной поддержки — это те, которые продолжают использоваться агентствами, но больше не получают прямой поддержки или обновлений безопасности от своих производителей.

«В качестве лидера в области федеральной кибербезопасности CISA предписывает федеральным агентствам принять немедленные меры из-за тревожной легкости, с которой субъект угрозы может использовать эти уязвимости, сохранять настойчивость на устройстве и получать доступ к сети жертвы», - сказал исполняющий обязанности директора CISA Мадху Готтумуккала.

"Такие же риски распространяются на любые организации, использующие эти устройства. Мы настоятельно призываем все организации принять меры, изложенные в настоящей Директиве о чрезвычайных ситуациях. "

Согласно директиве, агентства обязаны сообщать CISA полный перечень всех затронутых продуктов, включая подробную информацию о предпринятых действиях и результатах таких действий. Это необходимо сделать к 2 октября.

Это вторая чрезвычайная директива, изданная при администрации Трампа, - говорится в сообщении CISA. В августе агентство выпустило экстренную директиву для агентств по обновлению своих систем для предотвращения уязвимостей в Microsoft Exchange.