Sjefen for Norges Nasjonale sikkerhetsbyrå (NSM) advarte mandag om at utnyttelsen av to nylig avslørte Cisco-sårbarheter hadde ført til at «viktige selskaper» i landet ble kompromittert av hackere.
I samtale med en norsk avis Dagens NæringslivNSM-sjef Sofie Nystrøm sa at byrået hennes koordinerer den nasjonale responsen på de to nulldagssårbarhetene som påvirker Cisco IOS XE.
Nystrøm nektet å navngi selskapene som ble berørt, annet enn å kalle dem viktige og si at noen av dem leverte samfunnstjenester. Byrået hennes sa ikke hvor mange organisasjoner i landet som var blitt hacket eller om noen av dem var i offentlig sektor.
Situasjonen var «svært alvorlig», sa Nystrøm, før han beskrev angrepet som «mer alvorlig». en hendelse Denne sommeren rammet DSS, Norges statlige støttebyrå, og resulterte i at hackere fikk tilgang til dataene til et titalls departementer.
I to gjeldende sikkerhetsinstruksjonerFørst publisert 16. oktober, avslørte nettverksteknologigiganten Cisco at angripere aktivt utnyttet to sårbarheter (CVE-2023-20198 og CVE-2023-20273), hvorav den første fikk høyest mulig rangering i Common Vulnerability Scoring System på 10/ 10.
Cisco sa at de hadde observert angrep som utnyttet dette så tidlig som 28. september. Selskapet ga ut en innledende oppdatering søndag 22. oktober for å løse problemet.
Selskapets Talos Intelligence-team sa det hadde observert En trusselaktør som bruker CVE-2023-20198 for å få tilgang til kundenes systemer og deretter distribuere et implantat. I dagene etter Ciscos første sikkerhetsvarsel sa flere sikkerhetsselskaper at de hadde funnet opptil 40 000 enheter på nettet som så ut til å være kompromittert.
Etter at denne første teknikken for å identifisere implantatet var i sirkulasjon, oppdaterte angripere deretter den ondsinnede koden for å unngå oppdagelse, og antallet kompromitterte systemer som kunne oppdages fra utsiden ble redusert.
Selv om Talos-teamet forklarte at implantatet ikke kunne vedvare etter en omstart av enheten, advarte det om at angriperne også opprettet nye lokale brukerkontoer med administrative rettigheter. «Organisasjoner bør se etter uakkrediterte eller nyopprettede brukere på enheter som bevis på potensielt ondsinnet aktivitet relatert til denne trusselen,» advarte sikkerhetsteamet.
NSM har vært klar over sårbarheten «en tid», sier underdirektør Gullik Gundersen.
«Omfanget av skaden hvis sårbarheten utnyttes er stor, da alvorlighetsgraden av denne sårbarheten vurderes som kritisk. En angriper kan lage en bruker som får full kontroll over det berørte systemet, sa Gundersen.
Selskaper som bruker Cisco IOS XE bør oppdatere systemene sine umiddelbart, sa han.
– Det har vært tilfeller av aktiv utnyttelse av sårbarheten i utlandet og i Norge, sa Gundersen. «Dette er fortsatt en pågående hendelse og NSM jobber med å kartlegge de berørte virksomhetene.»
Registrert fremtid
Intelligence Cloud.
