- Cisco AsyncOSのゼロデイにより、Spam Quarantineをオンラインで公開しているSecure Emailアプライアンスで攻撃者がroot権限を取得可能
- AsyncOSの全リリースが脆弱で、パッチがないためCiscoは永続化の排除に向けて完全消去と再構築を強く推奨
- 研究者は中国の国家支援アクターを疑っており、多くの大規模組織がリスクにさらされる可能性
Ciscoは、一部製品にゼロデイ脆弱性が存在し、現在攻撃で積極的に悪用されていると警告している。現時点でパッチは提供されておらず、代わりに防御を強化するための特定の手順を取るよう利用者に助言している。
セキュリティアドバイザリで、Ciscoは12月10日に新たなサイバー攻撃キャンペーンを把握したと述べた。この攻撃は、Cisco Secure Email GatewayおよびCisco Secure Email and Web Manager向けのCisco AsyncOS Softwareを実行するアプライアンスを標的としている。
この不具合は、これらアプライアンスの物理・仮想の両インスタンスに影響するが、Spam Quarantine機能が設定されており、かつそれがインターネットに公開され、到達可能な場合に限られる。
中国のハッカーを疑う
現時点で侵入の犯行声明は出ていないが、一部の研究者は中国の国家支援型脅威アクターの仕業だとみている。
良いニュースは、この機能がデフォルトでは有効になっていないことだ。悪い点は、Cisco AsyncOSの全リリースがこのキャンペーンの影響を受けることにある。
攻撃者はこの欠陥を利用して、OS上でroot権限により任意のコマンドを実行し、実質的に侵害したデバイスを乗っ取っている。
Ciscoは、標的となった企業数や被害に遭った数は明らかにしていないが、現時点でこの不具合に対するパッチがないため、ユーザーに対し「アプライアンスを安全な構成に復元する」などの対策を取るよう助言している。言い換えれば、ソフトウェアを完全に消去し、ゼロから再構築するということだ。
アプライアンスを消去できない場合は、TACに連絡して製品が侵害されたかどうかを確認すべきであり、侵害が確認された場合、「アプライアンスから脅威アクターの永続化メカニズムを根絶するために、現時点で実行可能な選択肢はアプライアンスの再構築のみである」としている。
