НАЗАД К НОВОСТЯМ
Срочные новости

Cisco устраняет критическую уязвимость, эксплуатируемую китайской APT-группой в реальных атаках

2 мин чтенияИсточник: SecurityWeek

Компания Cisco выпустила обновления безопасности для устранения уязвимости CVE-2024-20399, активно эксплуатируемой китайской APT-группой UAT-9686. Узнайте подробности и рекомендации по защите.

Cisco устраняет уязвимость нулевого дня, эксплуатируемую китайским киберпреступником

Компания Cisco выпустила обновления безопасности для устранения критической уязвимости (CVE-2024-20399), которая активно эксплуатировалась в реальных атаках китайской группой угроз повышенной сложности (APT), идентифицированной как UAT-9686. Уязвимость использовалась для развёртывания бэкдора AquaShell на уязвимых устройствах Cisco с определёнными портами, доступными из интернета.

Технические подробности

Уязвимость, отслеживаемая как CVE-2024-20399, затрагивает устройства Cisco, работающие на уязвимых версиях программного обеспечения. Хотя Cisco не раскрыла все технические детали, известно, что уязвимость эксплуатировалась для получения несанкционированного доступа и выполнения произвольных команд. Впоследствии был развёрнут бэкдор AquaShell — лёгкий вредоносный инструмент, предназначенный для поддержания постоянного доступа и дальнейшего компрометирования системы.

Вектор атаки требовал, чтобы определённые порты были доступны из интернета, что подчёркивает риски неправильной сегментации сети и неверно настроенных периметровых средств защиты.

Анализ последствий

Эксплуатация CVE-2024-20399 группой UAT-9686 подчёркивает постоянную угрозу, исходящую от государственных киберпреступников, нацеленных на сетевую инфраструктуру. Бэкдор AquaShell позволяет злоумышленникам:

  • Выполнять удалённые команды на скомпрометированных системах
  • Похищать конфиденциальные данные
  • Закрепляться в сети для дальнейшего продвижения

Учитывая широкое распространение устройств Cisco в корпоративных и государственных средах, уязвимость представляет значительный риск для организаций с незащищёнными устройствами.

Рекомендации

Компания Cisco настоятельно рекомендует клиентам незамедлительно установить доступные обновления для снижения риска эксплуатации уязвимости. Специалистам по безопасности также следует:

  • Провести аудит сетевых конфигураций, чтобы убедиться в отсутствии ненужных портов, доступных из интернета
  • Мониторить признаки компрометации, включая необычные выполнения команд или сетевой трафик
  • Анализировать журналы на предмет индикаторов активности AquaShell, таких как аномальные запуски процессов или подключения к известным серверам управления и контроля (C2)

Организациям рекомендуется следовать бюллетеню безопасности Cisco для получения подробных инструкций по установке обновлений и дополнительных рекомендаций по снижению рисков.

Для более глубокого анализа ознакомьтесь с оригинальным отчётом SecurityWeek.

Поделиться

TwitterLinkedIn