Fejlett támadók, rejtőzködő módszerek
A kibertámadások mögött egy speciális, állami támogatású hackercsoport áll, amelyet UAT4356 néven azonosítottak. A támadók több nulladik napi sérülékenységet használtak ki, miközben profi elkerülési technikákat vetettek be: tiltották a naplózást, módosították a parancssori eseményeket, sőt gyakran szándékosan összeomlasztották az eszközöket, hogy elkerüljék a diagnosztikát. Érdekesség, hogy a Cisco indítási programját, a ROM Monitor (ROMmon) környezetet is manipulálták, így a kártevő még az újraindítások vagy szoftverfrissítések után is megmaradt a rendszerben. Mindez alapján megállapítható, hogy a korai áprilisi támadások óta a fenyegetés folyamatosan fejlődik. Mindazonáltal a Cisco továbbra sem nevezi meg, hogy orosz vagy kínai támadókról van-e szó.
Kritikus hibák az ügyfélszolgálati szoftverben
Nemcsak a tűzfalaknál van baj: a Cisco Unified Contact Center Express (UCCX) ügyfélszolgálati rendszerében is két súlyos biztonsági hibát (CVE-2025-20354 és CVE-2025-20358) találtak, 9,8 és 9,4 CVSS pontszámmal. Az egyik hiba lehetővé teszi jogosulatlan támadók számára, hogy rosszindulatú fájlokat töltsenek fel és rendszergazdai parancsokat futtassanak, míg a másikkal megkerülhető a hitelesítés. Jelenleg nem tudnak aktív támadásról ezekkel a hibákkal kapcsolatban, de a Cisco sürgős frissítésre szólítja fel az ügyfeleket: a 12.5 SU3 ES07 vagy a 15.0 ES01 verzióra kell váltani.
Gyors javítás kötelező
A támadások súlyossága miatt a Cisco teljes munkaidős csapatot állított rá az ügy kivizsgálására, és közvetlenül együttműködik az érintett szervezetekkel. Az elmúlt fél év folyamatos támadásai, a fejlett rejtőzködési taktikák és az ügyfélszolgálati szoftver kritikus rései miatt minden, hálózatot vagy ügyfélközpontot működtető cégnek haladéktalanul frissítenie kell a rendszereit. Lényeges hangsúlyozni, hogy a gyors reagálás elmaradása teljes hálózati bénuláshoz vagy adatvesztéshez vezethet.
