A legújabb Cisco-hiba miatt kínai hackerek átvették az irányítást

A Cisco súlyos biztonsági rést fedezett fel Secure Email Gateway (SEG) és Secure Email and Web Manager (SEWM) eszközeiben, amelyeket jelenleg is kihasználnak ismeretlen támadók. Az érintett eszközök közül csak azok vannak veszélyben, amelyeknél nem a gyári beállítások vannak érvényben, az internetre ki van téve a Spam Quarantine funkció, és még nem kaptak javítócsomagot.

Kínai hackerek tartják rettegésben a rendszert

A Cisco szerint a támadók egy kínai hátterű, UAT-9686 nevű hackercsoporthoz köthetők, amely már különféle államilag támogatott akciókban is részt vett. Ezek az ismeretlenek tetszőleges parancsokat hajtottak végre rendszergazdai jogosultsággal, telepítették az AquaShell nevű hátsóajtót, valamint olyan eszközöket vetettek be, mint az AquaTunnel és a Chisel, amelyek titkosított visszirányú alagutakat létesítenek, illetve egy AquaPurge nevű naplótörlő programot is alkalmaztak. A támadások nyomai alapján az akciók már 2025 novemberének végén megkezdődtek.

Azonnali védekezési lépések szükségesek

A Cisco arra figyelmeztet minden rendszergazdát, hogy amíg nem érkezik hivatalos javítás, mielőbb korlátozza a veszélyeztetett eszközök internetes hozzáférését, a hozzáférést csak megbízható kapcsolatok számára engedélyezze, és helyezze el ezeket tűzfal mögött. Emellett javasolják a levelezési és menedzsmentfunkciók szétválasztását, a naplók rendszeres ellenőrzését, fontolja meg az összes felesleges szolgáltatás letiltását, a szoftverek frissítését, valamint erős hitelesítési megoldások (például SAML vagy LDAP) használatát, a jelszavak cseréjét, illetve SSL vagy TLS tanúsítványok alkalmazását.

Ha már megtörtént a kompromittálás, az egyetlen biztos megoldás az eszköz teljes újratelepítése és az ajánlások szigorú betartása.

2025, adrienne, www.bleepingcomputer.com alapján