Hejto.pl
Hejto
>Wpisy
>CISA wytyczne dotyczące trwającego globalnego wykorzystywania systemów Cisco SD-WAN
CISA wytyczne dotyczące trwającego globalnego wykorzystywania systemów Cisco SD-WAN

CISA wytyczne dotyczące trwającego globalnego wykorzystywania systemów Cisco SD-WAN

Cisa
Tomekku
Gruba ryba
w Technologia

W skrócie:

  • Ktoś od 3+ lat, infekował na całym świecie firmy o wysokim znaczeniu strategicznym oraz infrastrukturę krytyczną

  • Chodzi o podatność w Cisco SD-WAN (Software Defined WAN) - coś co służy do bardziej sprytnego / tańszego budowania sieci WAN w dużych firmach.

  • Wykorzystanie luki następowało z poziomu Internetu, nie wymagało uwierzytelnienia, a hackerzy uzyskiwali dostęp na wysoko-uprawnionego użytkownika

  • Następnie robili downgrade oprogramowania i wykorzystywali kolejną, starą lukę, która finalnie dawała im pełen dostęp (root). W ten sposób mogli utrzymywać dostęp latami

  • Amerykańska agencja CISA wydała szereg pilnych rekomendacji (link w komentarzu)

  • CVE-2026-20127 to luka w Cisco Catalyst SD-WAN (dawniej vSmart)

#cisco #cybersecurity #cyberbezpieczenstwo

Cisa

Komentarze (6)

NiebieskiSzpadelNihilizmu

Wykorzystanie luki następowało z poziomu Internetu

@Tomekku pytanie tutaj raczej brzmi kto jest na tyle nienormalny, żeby mieć dostatecznie rozległą infrastrukturę, która by wymagała SD-WANu i dalej mieć to otwarte na świat jak gdyby nigdy nic... W moim korpograjdołku za sam taki pomysł by człowieka zjedli, nie mówiąc już o tym, że prędzej by wykitował jak dostał te 2137 zgód i otwarć na takie coś xD

Marchew

@NiebieskiSzpadelNihilizmu "z poziomu internetu" brzmi jak bełkot dziennikarski.

Obstawiam na coś w rodzaju web panelu do managmentu, adminowi wygodniej.

Aramil

@NiebieskiSzpadelNihilizmu

Nie z poziomu internetu, a z użyciem protokołu internetowego (czyli adresacji IP), zapewne wynik szybkiego tłumaczenia i wyszło "scientists cured cancer"

@Marchew

Yep, CVE pozwalał na całkowite pominięcie autoryzacji, ale pakiet nadal musiał być wysłany i dostarczony po 3 warstwie (IP).

Tylko skrajny szaleniec wystawia takie interfejsy wprost do internetu więc wątpię aby były na to jakiekolwiek ataki w tak bezpośredni sposób.

Sama podatność jest rzeczywiście wybitna (10/10 w ocenie wrażliwości) i pozwala całkiem pominąć uwierzytelnienie. Ale atakujący wciąż musi jakoś wysłać pakiety co w 99,9% organizacji będzie mocno ograniczone: VPN sieciowców, atakujący musi wbić się do sieci biurowej/produkcyjnej z nadzieją że nie jest separowana od management (standardowa praktyka w dużych sieciach), etc.

Marchew

@Aramil Brzmi jak słynny fortigate, CVE i hot łatania od groma. Ale w 90% się tyczy czegoś z zewnątrz dla wygody adminów.

Aramil

@Marchew CVE-2025-59718? No to Forti rzeczywiście miał konkret dostępny z neta Ale tutaj właśnie jest ta różnica że podatności nie ma na interfejsie dostępnym wszędzie, a z założenia ukrytym co najmniej za vlanem.

Zaloguj się aby komentować