Активное использование уязвимостей FXOS в устройствах Cisco Firepower

Специалисты подразделения Cisco Talos зафиксировали продолжающуюся активность, направленную против устройств Cisco Firepower, работающих под управлением операционной системы Firepower eXtensible Operating System (FXOS). Атака осуществляется путем эксплуатации известных уязвимостей (n-days). Эти уязвимости позволяют получить несанкционированный доступ к устройствам, создавая угрозу безопасности корпоративных сетей.

Что такое устройства Cisco Firepower?

Cisco Firepower представляет собой семейство сетевых устройств безопасности, включающее межсетевые экраны нового поколения (NGFW), которые обеспечивают комплексную защиту корпоративной сети за счет интеграции функций IPS, антивирусного ПО, анализа угроз и других технологий. Операционная система FXOS используется во многих моделях этих устройств, включая серии 2100, 4100, 9300 и другие.

Какие угрозы представляют данные атаки?

Эксплуатация указанных уязвимостей позволяет злоумышленникам выполнять следующие действия:

• Получение доступа к устройству с правами администратора;
• Возможность изменения настроек безопасности и мониторинга трафика;
• Установка вредоносных программ и бэкдоров;
• Использование устройства для дальнейших атак внутри сети компании. Эти риски могут привести к серьезным последствиям, таким как утечка конфиденциальных данных, нарушение работы критически важных сервисов и потеря контроля над инфраструктурой информационной безопасности предприятия.

Как защитить свою инфраструктуру?

Для минимизации риска необходимо выполнить ряд мер:

• Обновить прошивку всех устройств до последней доступной версии, содержащей исправления уязвимостей;
• Регулярно проверять наличие обновлений безопасности и устанавливать их своевременно;
• Ограничивать физический и удаленный доступ к устройствам только доверенным лицам;
• Настроить мониторинг событий безопасности и логирование действий администраторов;
• Проводить регулярный аудит конфигурации устройств и выявлять возможные слабые места.

Дополнительные меры предосторожности

Помимо перечисленных выше рекомендаций, рекомендуется также использовать дополнительные инструменты и сервисы для повышения уровня защищенности инфраструктуры:

• Применять решения класса SIEM для централизованного сбора и анализа журналов безопасности;
• Периодически проводить тестирование на проникновение (penetration testing);
• Использовать технологии сегментации сети для ограничения распространения потенциальных угроз;
• Постоянно обучать сотрудников основам кибергигиены и правилам безопасного использования информационных систем.

Как проверить с помощью Perimeter

Если ваша компания использует устройства Cisco Firepower, рекомендуем воспользоваться модулем vulnerability платформы Perimeter для регулярного сканирования вашей инфраструктуры на предмет наличия уязвимостей. Этот инструмент автоматически сопоставляет информацию о ваших активах с базой NVD и предоставляет отчет о найденных проблемах, позволяя оперативно устранять потенциальные угрозы.