На этой неделе в сфере безопасности произошли значимые события, касающиеся Cisco, Mitel и использования ИИ для создания ложных флагов. Эти инциденты обращают внимание на растущие угрозы и сложности, стоящие перед компаниями в мире кибербезопасности. Cisco, известный производитель сетевых устройств и решений, оказался в центре внимания из-за недавнего отчета их команды Talos Intelligence. Исследования показали, что технологии Cisco были использованы в государственно спонсируемых атаках. В частности, стало известно о вредоносных программах под названием Line Dancer и Line Runner, которые exploitировали уязвимости в системах Cisco.
Первым элементом атаки является Line Dancer — вредоносный код, который работает только в оперативной памяти, отключает системный журнал и похищает конфигурацию системы. Эта программа также перехватывает пакеты данных, что делает её особенно опасной для сетевой инфраструктуры. Однако наиболее хитроумный шаг заключался в том, что эта программа заменила процесс сброса при сбоях, в результате чего устройство перезагружалось, скрывая следы вредоносного ПО. Итогом работы Line Dancer стало установление «закладной» в VPN-сервисе. Второй элемент атаки, Line Runner, использовал уязвимость, позволяющую выполнять произвольный код на устройстве при его загрузке.
Эта программа не только устанавливала себя на целевых устройствах, но и создавала долговременные связи для командования и контроля. Интересно, что в блоге Talos упоминается о 32-байтовом токене, который используется для определения дополнительных шагов заражения, предполагая, что Line Runner может устанавливать себя только на определенных устройствах или выполнять некоторые другие действия. Хотя обновления для устранения уязвимостей уже доступны, первоначальный вектор атаки остается неизвестным. Одной из недавно исправленных уязвимостей является CVE-2024-20295, позволяющая аутентифицированному пользователю с правами только чтения выполнять команды от имени root. Одним из тревожных факторов является то, что по этому имеющемуся эксплойту имеются уже рабочие доказательства концепции, однако нет данных о том, что он был использован в даных атаках.
Не менее тревожные новости пришли и от компании Mitel, производителя VoIP-телефонов. Исследователи безопасности из группы Baldur обнаружили множество уязвимостей в их устройствах. Первое, что они нашли, позволило выполнить команду просто нажав несколько кнопок на телефоне. Эти телефоны широко используются в офисах и отелях, что делает их целью для злоумышленников. В процессе обследования системы, исследователи обнаружили, что настройки диагностического сервера позволяют загружать логи и системную информацию, и что данная настройка может передаваться команду в оболочку.
В результате этого, с помощью одной команды можно было перезагрузить телефон, а защита, в виде пароля администратора, оказалась элементарной — многие устройства используют стандартный пароль «1234». Далее команда Baldur обнаружила веб-сервер на порту 80, используемый для конфигурации устройства. Несмотря на некоторые меры безопасности, POST-запросы не требовали авторизации, если в течение последних 10 минут был выполнен корректный GET-запрос. Исследователи нашли несколько запросов, которые могли активировать таймер, что позволяло злоумышленникам обойти систему авторизации. Особую роль сыграл запрос на получение иконки сайта.
Заключительным этапом стало обнаружение переполнения буфера в процедуре, устанавливающей MAC-адрес через веб-интерфейс. Это дало возможность злоумышленникам выполнить произвольный код, открывая двери для дальнейших атак. Некоторые громкие события касаются и использования ИИ, в частности, нового аспекта ложных флагов. Во время недавнего инцидента стало известно, что основатель системы генерирования речи с использованием ИИ подделал голос директора школы, создав фальшивую запись с его мнением на расовые и другие вопросы. Данная подделка привела к тому, что директор был подвергнут общественному осуждению, а сам злоумышленник был арестован.
Это показывает, как технологии ИИ могут быть использованы для создания манипулятивных и вредоносных контентов. Существует множество других примеров использования ИИ для обмана, и этот случай, к сожалению, не уникален. Возрастающее количество инцидентов заставляет нас задуматься о том, какие меры безопасности необходимы, чтобы предотвратить подобные случаи в будущем. Это также поднимает важные вопросы о том, как устанавливать факты и отличать реальные новости от фальшивых. В заключение, текущая неделя показала, что кибербезопасность остается вопросом первостепенной важности для организаций по всему миру.
Инциденты, связанные с Cisco и Mitel, свидетельствуют о том, как уязвимости в системах могут быть использованы для серьёзных атак. Использование ИИ для создания ложных флагов лишь усугубляет ситуацию, подчеркивая необходимость повышения осведомленности и внедрения надежных мер безопасности для защиты от потенциальных угроз.
