Mentionsy

Cisco ostrzega przed aktywnym atakiem 0-day, który uderza w AsyncOS i eskaluje do root.

Duńska Agencja Wywiadu Obronnego potwierdziła, że cyberatak na systemy sterowania przemysłowego wodociągów w Turyby Alkestrup był przeprowadzony z użyciem technik, które ingerowały bezpośrednio w procesy SCADA i protokoły sterujące maszynami.

Śledczy wskazują, że operacja wykorzystała luki w konfiguracji SNMP oraz brak segmentacji pomiędzy siecią korporacyjną a OT, co umożliwiło lateral movement od stacji biurowych do systemów SCADA.

To wydarzenie podkreśla konieczność stosowania ścisłej segmentacji VLAN pomiędzy warstwami IT i OT, kontroli dostępu opartej o Zero Trust, monitorowania ruchu Modbus TCP i IEC 104, wdrożenia systemów detekcji anomalii w protokołach przemysłowych.

Eksperci wskazują, że brak izolacji SCADA-OT był kluczowym czynnikiem eskalacji incydentu i stanowi alarm dla operatorów infrastruktury krytycznej.

W praktyce atakujący był w stanie poprzez sekwencję zmodyfikowanych żądań Post Orders, Patch Payments i Get Payments Slash doprowadzić do stanu, w którym backend akceptował zamówienie jako opłacone, mimo że proces płatności kończył się błędem zwrotnym.

Architektura mikroserwisowa, w której usługa płatności i usługa realizacji zamówień miały odrębne bazy danych, nie implementowała transakcji rozproszonych ani mechanizmów idempotencji, co umożliwiło race condition i konflikty stanów.

Cisco ostrzega przed aktywnym atakiem 0-day, który uderza w AsyncOS i eskaluje do root.

Cisco potwierdziło aktywne wykorzystanie krytycznej podatności klasy 0-day oznaczonej jako CVE-2025.2039 w oprogramowaniu AsyncOS stosowanym w urządzeniach Cisco Secure Email Gateway oraz Cisco Secure Email & Web Manager.

Podatność ma najwyższą wartość w skali CVSS 10.0 i wynika z niewłaściwej walidacji wejścia, co umożliwia atakującemu wykonanie arbitralnych poleceń z uprawnieniami root na systemie operacyjnym Appliance'a, zarządzającego pocztą i filtrami.

W kampaniach obserwowanych przez Cisco Talos, atakujący, śledzony jako grupa UAT968, o powiązaniach z podmiotami państwowymi z Chin, używali zaszczyglonych TempCode rows, takich jak Aqua Shell, Backdoor in Python, utrzymujący trwałą obecność, Aqua Tunnel, odwrócone połączenie SASH, umożliwiające pivoting, Aqua Perch, komponent do kasowania logów i Chisel, narzędzie do tunelowania ruchu.

Cisco potwierdziło, że luka dotyczy wszystkich wersji AsyncOS i że nie ma jeszcze oficjalnej łatki, jednak CISA umieściła to zdarzenie w katalogu KEV, co obliguje federalne agencje USA do działania.

Mitygacje obejmują izolację dotkniętych systemów, wyłączenie ekspozycji portów management oraz pełne odbudowanie urządzeń po możliwym kompromisie.

Analitycy zagrożeń odnotowali wzrost aktywności grup cyberprzestępczych powiązanych z aparatem państwowym Rosja, które wykorzystują złożone exploity do penetracji środowisk administracyjnych i krytycznych systemów branżowych.

łańcuchy wykorzystania podatności pozwalające na Remote Code Execution i eskalację do Administrar Root.

Narzędzia do credential harvesting i dynamiczne piwotowanie w sieciach.

pass the hash, Kerberos ticket manipulation i nadużycie protokołów takich jak LDAP-AD.

Dla inżynierów bezpieczeństwa kluczowe jest wdrożenie segmentacji sieci i ograniczenia ruchu w ramach VLAN i VRF, ciągłego monitoringu bazowanego na analityce UEBA, rotacji i audytu uprawnień administracyjnych i serwisowych, weryfikacji konfiguracji usług LDAP-AD pod kątem List Privilege.

To wszystko co przygotowaliśmy dla Państwa dzisiaj.