Sjefen for Norges nasjonale sikkerhetsmyndighet (NSM) advarte mandag om at utnyttelsen av to nylig avslørte Cisco-sårbarheter har ført til at landets «viktige selskaper» ble kompromittert av hackere.
Snakker til den norske avisen Dagens NæringslivNSM-sjef Sofie Nystrøm sa at byrået hennes koordinerte den nasjonale responsen på de to nulldagssårbarhetene som påvirker Cisco IOS XE.
Nystrøm nektet å identifisere virksomhetene som var berørt, bare kalte dem store og sa at noen leverte samfunnstjenester. Byrået hans sa ikke hvor mange organisasjoner i landet som var blitt hacket, eller om noen av dem var i offentlig sektor.
Situasjonen var «veldig alvorlig», sa Nystrøm, før han kalte angrepet «sterkere» enn en hendelse denne sommeren, påvirket DSS, det norske statlige støtteorganet, noe som førte til at hackere fikk tilgang til data fra et dusin regjeringsdepartementer.
I to nylige sikkerhetsrådførste gang publisert 16. oktober, avslørte nettverksteknologigiganten Cisco at angripere aktivt utnyttet to sårbarheter (CVE-2023-20198 og CVE-2023-20273), hvorav den første fikk høyest mulig poengsum innenfor rammen av Common Vulnerability Scoring System . 10/10.
Cisco sa at de observerte angrep som utnyttet disse feilene allerede 28. september. Selskapet ga en innledende oppdatering søndag 22. oktober for å løse problemet.
Selskapets Talos Intelligence-team sa han observerte en trusselaktør som får tilgang til kundesystemer ved å bruke CVE-2023-20198 og deretter distribuere et implantat. I dagene etter Ciscos første sikkerhetsrådgivning rapporterte flere sikkerhetsselskaper at de fant så mange som 40 000 enheter på nettet som virket kompromitterte.
Etter at denne første implantatidentifikasjonsteknikken ble utgitt, oppdaterte angriperne sin skadelige kode for å unngå oppdagelse, og antallet eksternt observerbare kompromitterte systemer falt.
Selv om Talos-teamet sa at implantatet ikke var i stand til å vedvare etter en omstart av enheten, advarte det om at angripere også opprettet nye lokale brukerkontoer med administratorrettigheter. «Organisasjoner bør se etter uforklarlige eller nyopprettede brukere på enheter som bevis på potensielt ondsinnet aktivitet relatert til denne trusselen,» advarte sikkerhetsteamet.
NSM har vært klar over denne sårbarheten «en tid», sa underdirektør Gullik Gundersen.
«Omfanget av skade når sårbarheten utnyttes er betydelig siden alvorlighetsgraden av denne sårbarheten anses som kritisk. En angriper kan lage en bruker som får full kontroll over det berørte systemet,» sa Gundersen.
Bedrifter som bruker Cisco IOS XE bør oppdatere systemene sine umiddelbart, sa han.
– Det har vært tilfeller av aktiv utnyttelse av denne sårbarheten i utlandet og i Norge, sa Gundersen. «Dette er fortsatt en pågående hendelse og NSM jobber med å kartlegge de berørte selskapene.»
Fremtiden reddet
Intelligenssky.
«Popkulturfan. Kaffeekspert. Baconnerd. Opprørende ydmyk formidler. Vennlig spiller.»
