Cisco, Çin Kaynaklı Sıfır Gün Açığı Saldırılarına Karşı Uyarıyor

Cisco, en popüler ürünlerinden bazılarını hedef alan ve Çin destekli devlet hackerları tarafından aktif olarak istismar edilen kritik bir sıfır gün güvenlik açığı hakkında önemli bir uyarı yayınladı. Bu açık, Cisco Secure Email Gateway, Cisco Secure Email ve Web Manager cihazları dahil olmak üzere Cisco AsyncOS yazılımını çalıştıran etkilenen cihazların tamamen ele geçirilmesine olanak tanıyor. Endişe verici bir şekilde, şu anda resmi bir yama mevcut değil, bu da birçok kuruluşu savunmasız bırakıyor.

Ağ devi, bir güvenlik uyarısında, siber saldırı kampanyasını ilk olarak 10 Aralık'ta tespit ettiğini açıkladı. Saldırılar özellikle "Spam Karantinası" özelliği etkinleştirilmiş ve internete açık cihazları hedef alıyor. Cisco, bu özelliğin varsayılan olarak etkin olmadığını ve mutlaka internete açık olması gerekmediğini belirtse de, varlığı kuruluşlar için saldırı yüzeyini önemli ölçüde genişletiyor.

UCLA Sağlık Bilimleri'nden kıdemli siber güvenlik araştırmacısı Michael Taggart, TechCrunch'a yaptığı açıklamada, "internete dönük bir yönetim arayüzü ve belirli özelliklerin etkinleştirilmesi gerekliliği, bu güvenlik açığının saldırı yüzeyini sınırlayacaktır" yorumunda bulundu.

Ancak, siber saldırı kampanyalarını takip etmesiyle tanınan güvenlik araştırmacısı Kevin Beaumont, TechCrunch'a endişelerini dile getirdi. Etkilenen Cisco ürünlerine çok sayıda büyük kuruluşun güvenmesi, yama olmaması ve hackerların arka kapılar aracılığıyla ne kadar süredir erişime sahip olduğunun bilinmemesi göz önüne alındığında durumun ciddiyetini vurguladı.

Cisco, devam eden bu kampanyadan kaç müşterinin etkilendiğini henüz açıklamadı. TechCrunch'ın ulaştığı Cisco sözcüsü Meredith Corley, şirketin "sorunu aktif olarak araştırdığını ve kalıcı bir çözüm geliştirdiğini" belirtti ancak daha fazla ayrıntı vermedi.

Bu arada, Cisco'nun ele geçirilmiş sistemler için önerdiği çözüm radikal: müşterilere etkilenen ürünlerdeki yazılımı silmeleri ve yeniden kurmaları tavsiye ediliyor. Şirket bunu uyarısında şöyle vurguladı:

"Onaylanmış bir ele geçirme durumunda, cihazları yeniden kurmak, tehdit aktörlerinin kalıcılık mekanizmasını cihazdan tamamen kaldırmak için şu anda tek geçerli seçenektir."

Şirketin tehdit istihbaratı araştırma ekibi Cisco Talos'a göre, bu sofistike kampanyanın arkasındaki hackerlar Çin ve bilinen diğer Çin hükümeti destekli hacker gruplarıyla bağlantılı. Talos araştırmacıları, bir blog yazısında, saldırganların kalıcı arka kapılar kurmak için bu sıfır gün güvenlik açığını nasıl istismar ettiğini detaylandırdı. Kampanya en az Kasım ayının sonlarından beri aktif durumda.