Назад к блогу

Эксплуатация нулевого дня в Cisco Secure Firewall для распространения вымогателя Interlock

3 мин. чтения1 просмотровИИ-генерацияуправление уязвимостямиуправление поверхностью атакиeasmвредоносное пооценка рисков

Эксплуатация нулевого дня в Cisco Secure Firewall для распространения вымогателя Interlock

Недавно была выявлена активная атака, в ходе которой злоумышленники используют критическую уязвимость нулевого дня в Cisco Secure Firewall Management Center (FMC). Эта уязвимость может позволить удалённому неаутентифицированному атакующему выполнить произвольный код с повышенными привилегиями на уязвимом устройстве. По данным отчёта Cisco, эксплуатация данной уязвимости предположительно используется группой вымогателей Interlock для внедрения вредоносного ПО.

Подробности уязвимости и атаки

Уязвимость описана в официальном бюллетене Cisco (https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-2024), который был опубликован в марте 2024 года. Она затрагивает программное обеспечение Cisco Secure Firewall Management Center — ключевой компонент для централизованного управления межсетевыми экранами Cisco. Проблема может позволить злоумышленникам, не имеющим предварительной аутентификации, получить контроль над системой, запуская произвольный код с повышенными правами.

На практике это означает, что злоумышленники могут обойти защиту и потенциально взять под контроль сервер управления межсетевым экраном. Используя эту возможность, группа вымогателей Interlock, согласно имеющейся информации, начала кампанию по распространению своего вредоносного ПО, что представляет серьёзную угрозу для организаций, использующих Cisco FMC в своей инфраструктуре.

Почему это важно для управления внешней поверхностью атаки

Cisco Secure Firewall Management Center — это центральный инструмент, который обеспечивает управление и мониторинг межсетевых экранов, защищающих корпоративные сети. Уязвимость такого уровня в системе управления может привести к компрометации всей сетевой безопасности организации. Злоумышленники, получив контроль над FMC, могут изменять правила межсетевого экрана, создавать обходные пути для атак, а также внедрять вредоносное ПО в инфраструктуру.

Для команд, отвечающих за управление внешней поверхностью атаки (External Attack Surface Management, EASM), это означает необходимость пересмотра текущих мер безопасности и усиления контроля над уязвимыми компонентами. Учитывая, что FMC является точкой управления для множества устройств, её компрометация значительно расширяет потенциальную поверхность атаки.

Практические рекомендации для команд безопасности

  • Немедленно обновить ПО Cisco Secure Firewall Management Center. Cisco выпустила обновления, устраняющие описанную уязвимость. Обновление должно быть приоритетом для всех организаций, использующих FMC.

  • Провести аудит текущих настроек и журналов безопасности FMC. Проверить на наличие признаков компрометации, включая подозрительные активности и изменения в конфигурациях.

  • Ограничить доступ к FMC. Убедиться, что доступ к системе управления возможен только из доверенных сетей и по защищённым каналам.

  • Внедрить многофакторную аутентификацию (MFA) для всех административных аккаунтов, чтобы снизить риск несанкционированного доступа.

  • Использовать инструменты мониторинга внешней поверхности атаки для своевременного обнаружения новых уязвимостей и попыток эксплуатации.

  • Обучить сотрудников безопасности особенностям данной уязвимости и методам быстрого реагирования на инциденты, связанные с FMC.

Управление внешней поверхностью атаки требует постоянного внимания к обновлениям и уязвимостям в ключевых компонентах инфраструктуры. Случай с Cisco Secure Firewall Management Center демонстрирует, насколько критично своевременно реагировать на угрозы и поддерживать системы в актуальном состоянии, чтобы предотвратить масштабные атаки и минимизировать риски компрометации.

Источник: официальный бюллетень Cisco Security Advisory (https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-2024), в котором описана уязвимость, затронутые версии и рекомендации по обновлению. В бюллетене указано, что уязвимость может быть использована для удалённого выполнения кода, а также приведены сведения о наличии исправлений. Информация о применении уязвимости группой вымогателей Interlock основана на открытых источниках и требует дополнительной проверки.

Поделиться:TelegramVK

Похожие статьи

Критическая уязвимость в Cisco Secure Firewall Management Center: удалённое выполнение кода и полный контроль над системой

6 мар. 20262 мин. чтения2
управление уязвимостямиуправление поверхностью атакиeasmвредоносное пооценка рисков

Критическая уязвимость в Fortinet FortiManager: удалённое выполнение команд через fgtupdates

11 мар. 20262 мин. чтения2
управление уязвимостямиуправление поверхностью атакиоценка рисковeasm

Появился PoC-эксплойт для критической уязвимости Cisco SD-WAN, активно эксплуатируемой в реальной среде

6 мар. 20262 мин. чтения2
управление уязвимостямиуправление поверхностью атакиeasmоценка рисков
РазработаноMagma

Мы используем файлы cookie для обеспечения работоспособности сервиса и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с политикой конфиденциальности.