Cisco Talos недавно обнаружила киберкампанию, нацеленную на программное обеспечение Cisco AsyncOS для Secure Email Gateway, Secure Email и Web Manager. Кампания ведется как минимум с конца ноября. По словам сетевого гиганта, патч пока недоступен.
Масштаб риска
Согласно информации Cisco, уязвимость затрагивает системы, на которых активирована функция карантина спама. Однако, по мнению экспертов по безопасности, это не обязательно снижает риск для компаний.
«Даже если функция не активирована по умолчанию, уязвимость может представлять высокий риск», — предупреждает Сунил Варки, аналитик по кибербезопасности. «Затронутые устройства обычно занимают привилегированные позиции в сети».
Кроме того, неизвестно, сколько компаний активировали эту функцию в производственных средах.
«Карантин спама позволяет администраторам проверять и выпускать «ложные срабатывания», то есть легитимные электронные письма, которые были классифицированы устройством как спам», — объясняет Кит Прабху, основатель и генеральный директор Confidis. «Учитывая современную удаленную поддержку и круглосуточную работу, вполне возможно, что многие компании активировали эту функцию».
По словам Акшата Тьяги, руководителя практики в HFS Research, самая большая проблема заключается в типе цели. «В отличие от пользовательского ноутбука или отдельного сервера, системы безопасности электронной почты находятся в центре того, как компании фильтруют и доверяют почтовому трафику. Это означает, что злоумышленники будут действовать в рамках инфраструктуры, предназначенной для остановки угроз, а не для их получения».
Тьяги добавляет: «Тот факт, что патч еще не выпущен, еще больше увеличивает риск. Если производитель рекомендует переустанавливать устройства, а не просто исправлять их, это говорит о том, что речь идет о настойчивости и контроле, а не только об однократном использовании уязвимости».
Варки отмечает, что для эксплуатации уязвимости не обязательно требуется прямое подключение к Интернету; атака может быть осуществлена через внутренние сети или сети, доступные через VPN. Он рекомендует компаниям временно заблокировать или ограничить доступ к затронутым портам управления.
Советы по восстановлению и компромиссы в работе
Cisco заявила, что в случаях подтвержденного взлома в настоящее время требуется удаление и переустановка устройств.
«С точки зрения безопасности, это действительно правильное решение», — говорит Тьяги. «Если существует риск того, что злоумышленники глубоко внедрились в систему, простое применение патчей не решит проблему. Переустановка — единственный способ убедиться, что угроза полностью устранена».
Однако Варки отмечает, что для многих компаний это может быть непрактичным вариантом, поскольку сопряжено с бизнес-рисками. К ним относятся простои, неправильные конфигурации и потенциальное повторное внедрение вредоносного ПО через скомпрометированные резервные копии.
Компаниям необходимо найти баланс между скоростью устранения уязвимости и поддержанием непрерывности бизнеса, полагаясь при этом на компенсирующие меры контроля для ограничения риска.
«Cisco Secure Email Gateway, Cisco Secure Email и Web Manager являются важными компонентами инфраструктуры электронной почты», — подчеркивает Прабху. «Компаниям придется планировать эти меры таким образом, чтобы минимизировать время простоя, одновременно сокращая период возможного компрометирования. В промежутке они могут использовать другие меры безопасности, такие как блокировка портов в брандмауэре, для ограничения поверхности атаки». (jm)
Автор – Prasanth Aby Thomas
