Cisco afferma che gli hacker stanno sfruttando un bug in uno dei suoi popolari prodotti di rete utilizzati dalle grandi aziende da almeno tre anni, spingendo il governo degli Stati Uniti e i suoi alleati a sollecitare le organizzazioni advert agire.
Il bug, che ha a punteggio massimo di gravità della vulnerabilità pari a 10,0consente agli hacker di penetrare da remoto nelle reti che utilizzano i prodotti Catalyst SD-WAN, che consentono alle grandi aziende e agli enti governativi con più uffici di connettere le proprie reti personal su lunghe distanze.
Sfruttando questo bug su Web, gli hacker possono ottenere il massimo livello di autorizzazioni su questi dispositivi e mantenere un accesso nascosto e persistente all’interno della rete della vittima, consentendo loro di spiare o rubare dati per un lungo periodo di tempo.
Cisco ha detto dopo aver scoperto il bug, i suoi ricercatori tracce di sfruttamento già nel 2023. Si cube che alcune delle organizzazioni colpite siano infrastrutture critiche. La società non ha fornito dettagli specifici, ma “infrastrutture critiche” può riferirsi a qualsiasi cosa, dalle reti elettriche e la fornitura di acqua al settore dei trasporti.
Diversi governi, tra cui Australia, Canada, Nuova Zelanda, Regno Unito e Stati Uniti, hanno lanciato l’allarme un avviso che gli autori delle minacce stanno prendendo di mira le organizzazioni “a livello globale”.
L’agenzia statunitense per la sicurezza informatica CISA ha ordinato a tutte le agenzie federali civili di applicare patch ai propri sistemi entro venerdì, citando un minaccia imminente e un rischio inaccettabile per il governo federale. L’agenzia federale per la sicurezza informatica, che attualmente funziona a capacità ridotta a causa di un parziale shutdown del governo, ha dichiarato di essere a conoscenza dello sfruttamento in corso.
Né Cisco né i governi hanno attribuito gli attacchi a uno specifico gruppo di minaccia o stato nazionale, se noto, ma hanno monitorato un cluster di attività come UAT-8616.
A dicembre, Cisco aveva avvertito di una vulnerabilità simile, classificata 10.0, nel software program Async che esegue la maggior parte dei suoi prodotti, che veniva utilizzato attivamente per hackerare le reti dei suoi clienti.
