Five Eyes情報同盟の各国サイバーセキュリティ機関は、「高度な脅威行為者」がCiscoネットワーク機器の新たな脆弱性を積極的に悪用していることを水曜日に緊急で警告し、組織に対してシステムが既に侵害されている可能性の兆候を調べるよう求めました。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、「サイバー脅威行為者によるCisco SD-WANシステムの継続的な悪用」に対する警告として緊急指令を発出し、その活動は連邦民間行政機関ネットワークに対する重大なリスクをもたらすと述べています。
警告で引用された脆弱性には、CVE-2026-20127およびCVE-2022-20775が含まれており、これらは実際の悪用に関連しています。CISAは、これらの状況は「連邦機関にとって受け入れ難いリスクをもたらし、緊急の行動が必要である」と評価していると述べています。
英国国家サイバーセキュリティセンター(NCSC)も、「悪意のあるサイバー脅威行為者が世界的に組織で使用されているCisco Catalyst Software Defined Wide Area Networks(SD-WAN)を標的にしている」と述べ、この活動が米国に限定されていないことを強調しています。
NCSCの最高技術責任者オリー・ホワイトハウスは、影響を受けるCisco製品を使用している組織は「ネットワーク侵害への露出について緊急に調査する」べきであり、侵害が発生したことの証拠を探し始めるべきだと述べています。
Ciscoの独自の勧告は、その製品の「複数の脆弱性」が「攻撃者が影響を受けたシステムにアクセスし、特権をルートに昇格させ、機密情報にアクセスし、任意のファイルを上書きすることを可能にする可能性がある」と警告しています。
同社は、脆弱性は「相互に依存していない」であり、一つの脆弱性の悪用が別の脆弱性の悪用に必要ではないことを強調しています。
共同警告の一環として、オーストラリア情報局(同国のサイバーおよび通信情報機関)は、組織がハッカーがシステム内にいるかどうかを理解するのに役立つ技術的な「ハントガイド」を公開しました。
ガイドによると、少なくとも1つの悪意あるサイバー行為者が2023年以来、昨年後半に特定されその後修正されたゼロデイ脆弱性を使用してCisco SD-WAN環境を侵害しています。
「この脆弱性により、悪意のあるサイバー行為者は、組織のSD-WANのネットワーク管理プレーンまたはコントロールプレーンに参加する不正なピアを作成できます」と文書は述べています。「不正なデバイスは、管理およびコントロールプレーン内で信頼できるアクションを実行できる新しいが一時的な行為者制御のSD-WAN成分として表示されます。」
ハントガイドは、このレベルのアクセスを獲得した攻撃者が、ルートアクセスを取得し、ロギングおよび他の監視との干渉などの検出を回避するための手段を講じることを含め、長期的な永続性を確立することができた方法について説明しています。
当局は、その活動の背後にあると考えられている脅威グループを公開で特定していません。
前の記事なし
新しい記事なし
翻訳元: https://therecord.media/five-eyes-warn-hackers-exploit-cisco-sd-wan
