Компания Cisco предупредила, что связанная с Китаем группа хакеров активно использует ранее неизвестную уязвимость в своих устройствах Secure Email для получения постоянного доступа. Это вынуждает пострадавшие организации рассматривать возможность полного перестроения критически важной инфраструктуры безопасности, поскольку исправления пока недоступны.
Специалисты Cisco Talos сообщили, что атаки ведутся как минимум с конца ноября, вызывая обеспокоенность у руководителей служб безопасности по поводу скрытого компромисса и того, насколько далеко могут зайти усилия по реагированию на инциденты за пределами затронутых устройств.
Уязвимость затрагивает устройства Cisco Secure Email Gateway, Cisco Secure Email и Web Manager под управлением AsyncOS, но только в конфигурациях, где включена функция Spam Quarantine и она доступна из интернета, согласно Cisco.
Компания заявила, что исправление в настоящее время отсутствует, и полное удаление механизмов постоянного доступа злоумышленников в подтвержденных случаях компрометации возможно только путем перестроения затронутых устройств.
Масштабы воздействия и риски для предприятий
Cisco сообщила, что системы, в которых функция Spam Quarantine не включена, не затронуты, но аналитики считают, что это не обязательно снижает риски для предприятий.
«Эта уязвимость может оставаться проблемой высокого риска, поскольку затронутые устройства обычно занимают привилегированные позиции в сети, даже если функция включена не по умолчанию», — заявил аналитик по кибербезопасности Сунил Варки.
Также неясно, сколько предприятий могли включить эту функцию в производственных средах, отметил Кит Прабху, основатель и генеральный директор Confidis.
«Spam Quarantine позволяет администраторам просматривать и выпускать «ложные срабатывания», то есть легитимные электронные письма, которые устройство ошибочно определило как спам», — пояснил Прабху. «В условиях удаленной поддержки и круглосуточной работы вполне возможно, что многие предприятия включили эту функцию».
Акшат Тяги, руководитель практики в HFS Research, считает, что более серьезную обеспокоенность вызывает характер цели. В отличие от пользовательского ноутбука или отдельного сервера, системы безопасности электронной почты находятся в центре фильтрации и доверия к почтовому трафику организации, что означает, что злоумышленники будут действовать внутри инфраструктуры, предназначенной для остановки угроз, а не для их получения.
«Тот факт, что исправления пока нет, еще больше повышает риск», — добавил Тяги. «Когда рекомендация поставщика заключается в перестроении устройств, а не в их очистке на месте, это говорит о том, что речь идет о постоянстве и контроле, а не просто об однократной эксплуатации».
Варки добавил, что для эксплуатации может не потребоваться прямое подключение к Интернету, и она также может происходить из внутренних сетей или сетей, доступных через VPN. Он посоветовал организациям временно закрыть или ограничить доступ к затронутым портам управления.
Рекомендации по перестроению и операционные компромиссы
Cisco заявила, что в случаях подтвержденного компромисса требуется полное стирание и перестроение устройств.
«С точки зрения безопасности, это действительно правильное решение», — считает Тяги. «Когда существует риск того, что злоумышленники глубоко внедрились в систему, одного лишь исправления недостаточно. Перестроение — единственный способ убедиться, что угроза полностью устранена».
Однако Варки отметил, что для многих организаций это может быть неприемлемым вариантом, поскольку влечет за собой бизнес-риски, включая простои, неправильную конфигурацию и возможное повторное внедрение постоянного доступа через поврежденные резервные копии.
Предприятиям придется балансировать между скоростью устранения последствий и непрерывностью бизнеса, полагаясь на компенсирующие меры для ограничения воздействия. «Cisco Secure Email Gateway, Cisco Secure Email и Web Manager являются критически важными компонентами инфраструктуры электронной почты», — сказал Прабху. «Организациям потребуется планировать эту деятельность таким образом, чтобы минимизировать время простоя, но в то же время сократить период компрометации. В качестве временной меры они могут использовать другие меры безопасности, такие как блокировка портов на брандмауэре, для ограничения воздействия».
Автор – Prasanth Aby Thomas
