吳明宜資安研究人員發現,去年被揭露的中國駭客組織 Salt Typhoon 今年仍然持續橫行,利用思科 IOS XE 網路設備漏洞駭入歐、美、非及亞洲電信業者。
資安廠商 Recorded Future 的 Insikt Group 威脅研究小組發現,被稱為 Salt Typhoon 或 RedMike 的中國駭客組織,從去年 12 月到今年 1 月持續蠢動,駭入思科 IOS XE 設備中未修補的權限升級漏洞 CVE-2023-20198 及 Web UI 指令注入漏洞 CVE-2023-20273 。他們先是發現這些思科設備和 Salt Typhoon 控制的伺服器透過通用路由封包 (generic routing encapsulation, GRE) 通道相互通訊,進而發現這樁攻擊。
Insikt Group 研究人員相信,這段時間內,Salt Typhoon 行動的受害者包括一家美國 ISP 、一家英國電信業者的美國夥伴、一家南非電信業者、義大利 ISP 及大型泰國電信業者,他們辨識出有 12000 多台思科設備 WebUI 曝露於網際網路,其中有 1,000 多台遭到鎖定,佔比 8% 。
這二個漏洞是在兩年前首次見報。當時駭客在一次零時差漏洞攻擊中,攻陷了五萬多台 Cisco IOS XE 設備,進而透過私設的特權帳號植入後門程式。根據五眼聯盟(美、英、加、澳、紐)去年 11 月的安全公告,這兩個漏洞名列 2023 年被濫用最多的前四名。
Iniskt Group 建議思科 IOS XE 網路裝置的網管人員儘速安裝更新版 IOS XE,並且儘可能關閉管理員介面或非必要服務曝露到網路網路上。
思科對媒體表示尚未證實安全廠商說法,但會持續調查。思科表示早在 2023 年該公司就已發佈和這兩個漏洞相關的安全公告、修補程式及客戶指引,要求客戶儘速安裝軟體更新。思科再度建議客戶更新到最新版本作業系統,並且遵循業界安全管理的最佳典範 (best practice) 。