Kínai hackerek tartják rettegésben a rendszert
A Cisco szerint a támadók egy kínai hátterű, UAT-9686 nevű hackercsoporthoz köthetők, amely már különféle államilag támogatott akciókban is részt vett. Ezek az ismeretlenek tetszőleges parancsokat hajtottak végre rendszergazdai jogosultsággal, telepítették az AquaShell nevű hátsóajtót, valamint olyan eszközöket vetettek be, mint az AquaTunnel és a Chisel, amelyek titkosított visszirányú alagutakat létesítenek, illetve egy AquaPurge nevű naplótörlő programot is alkalmaztak. A támadások nyomai alapján az akciók már 2025 novemberének végén megkezdődtek.
Azonnali védekezési lépések szükségesek
A Cisco arra figyelmeztet minden rendszergazdát, hogy amíg nem érkezik hivatalos javítás, mielőbb korlátozza a veszélyeztetett eszközök internetes hozzáférését, a hozzáférést csak megbízható kapcsolatok számára engedélyezze, és helyezze el ezeket tűzfal mögött. Emellett javasolják a levelezési és menedzsmentfunkciók szétválasztását, a naplók rendszeres ellenőrzését, fontolja meg az összes felesleges szolgáltatás letiltását, a szoftverek frissítését, valamint erős hitelesítési megoldások (például SAML vagy LDAP) használatát, a jelszavak cseréjét, illetve SSL vagy TLS tanúsítványok alkalmazását.
Ha már megtörtént a kompromittálás, az egyetlen biztos megoldás az eszköz teljes újratelepítése és az ajánlások szigorú betartása.
