W poniedziałek 2 grudnia Cisco zaktualizowało ostrzeżenie dotyczące znanej od 10 lat luki w zabezpieczeniach. Firma informuje klientów, iż podatność jest wykorzystywana w atakach.
Luka została sklasyfikowana pod numerem CVE-2014-2120 i opisana jako błąd w zabezpieczeniach typu cross-site scripting (XSS) o średnim stopniu zagrożenia, który wpływa na stronę logowania WebVPN produktów Cisco Adaptive Security Appliance (ASA).
Według giganta sieciowego niezweryfikowany zdalny atakujący może wykorzystać podatność w zabezpieczeniach do przeprowadzania ataków XSS na użytkowników WebVPN, nakłaniając ich do kliknięcia złośliwego łącza.
O podatnościach pojawiających się w produktach Cisco pisaliśmy wielokrotnie.
Cisco opublikowało swoje wstępne ostrzeżenie dotyczące CVE-2014-2120 w marcu 2014 r., kiedy poinformowało klientów, iż powinni skontaktować się z kanałami wsparcia, aby uzyskać poprawioną wersję oprogramowania.
„W listopadzie 2024 r. zespół reagowania na incydenty bezpieczeństwa produktów Cisco (PSIRT) dowiedział się o kolejnych próbach wykorzystania tej luki w środowisku naturalnym. Cisco przez cały czas zdecydowanie zaleca klientom aktualizację do wersji systemu stałego w celu naprawienia tej luki w zabezpieczeniach” – poinformowała firma w aktualizacji dodanej 2 grudnia.
Aktualizacja Cisco pojawiła się po tym, jak 12 listopada agencja ds. cyberbezpieczeństwa CISA dodała CVE-2014-2120 do swojego katalogu znanych luk wykorzystywanych przez użytkowników (KEV), instruując agencje rządowe, aby do 3 grudnia zajęły się luką w swoich środowiskach.
Aktualizacja KEV CISA pojawiła się zaledwie kilka dni po opublikowaniu przez firmę ds. cyberbezpieczeństwa CloudSEK wpisu na blogu dotyczącego znaczących zmian w botnecie Androxgh0st, w tym wykorzystania wielu luk w zabezpieczeniach w celu uzyskania początkowego dostępu do systemów oraz potencjalnej integracji operacyjnej z botnetem Mozi, który został zamknięty przez chińskie władze pod koniec 2023 roku.
CloudSEK zauważył, iż botnet Androxgh0st próbował wykorzystać luki w zabezpieczeniach Cisco, Atlassian, Metabase, Sophos, Oracle, OptiLink, Produkty TP-Link, Netgear i GPON, a także w PHP i wtyczce WordPress. Lista wykorzystanych luk obejmuje lukę w zabezpieczeniach Cisco ASA CVE-2014-2120.
Firma zajmująca się bezpieczeństwem zauważyła setki urządzeń, które zostały naruszone przez botnet Androxgh0st.
W przypadku CVE-2014-2120 hakerzy próbowali wykorzystać lukę, używając specjalnie spreparowanych żądań, które umożliwiłyby zdalne przesyłanie dowolnych plików i dodawanie złośliwego kodu do plików PHP na serwerze, w celu uzyskania stałego dostępu do środowiska. Zgodnie z wcześniejszymi raportami Androxgh0st umożliwia cyberprzestępcom uzyskanie dostępu do stron internetowych i systemów biznesowych oraz zdobycie poufnych informacji, takich jak dane uwierzytelniające. Mogą oni wykorzystywać naruszone systemy do przeprowadzania dalszych ataków, w tym wydobywania kryptowalut i ataków DDoS.
