Cisco ostrzega, że niezałatana od 10 lat luka jest używana w atakach!

Luka została sklasyfikowana pod numerem CVE-2014-2120 i opisana jako błąd w zabezpieczeniach typu cross-site scripting (XSS) o średnim stopniu zagrożenia, który wpływa na stronę logowania WebVPN produktów Cisco Adaptive Security Appliance (ASA).

Według giganta sieciowego niezweryfikowany zdalny atakujący może wykorzystać podatność w zabezpieczeniach do przeprowadzania ataków XSS na użytkowników WebVPN, nakłaniając ich do kliknięcia złośliwego łącza.

O podatnościach pojawiających się w produktach Cisco pisaliśmy wielokrotnie.

Cisco opublikowało swoje wstępne ostrzeżenie dotyczące CVE-2014-2120 w marcu 2014 r., kiedy poinformowało klientów, że powinni skontaktować się z kanałami wsparcia, aby uzyskać poprawioną wersję oprogramowania.

„W listopadzie 2024 r. zespół reagowania na incydenty bezpieczeństwa produktów Cisco (PSIRT) dowiedział się o kolejnych próbach wykorzystania tej luki w środowisku naturalnym. Cisco nadal zdecydowanie zaleca klientom aktualizację do wersji oprogramowania stałego w celu naprawienia tej luki w zabezpieczeniach” – poinformowała firma w aktualizacji dodanej 2 grudnia.

Aktualizacja Cisco pojawiła się po tym, jak 12 listopada agencja ds. cyberbezpieczeństwa CISA dodała CVE-2014-2120 do swojego katalogu znanych luk wykorzystywanych przez użytkowników (KEV), instruując agencje rządowe, aby do 3 grudnia zajęły się luką w swoich środowiskach.

Aktualizacja KEV CISA pojawiła się zaledwie kilka dni po opublikowaniu przez firmę ds. cyberbezpieczeństwa CloudSEK wpisu na blogu dotyczącego znaczących zmian w botnecie Androxgh0st, w tym wykorzystania wielu luk w zabezpieczeniach w celu uzyskania początkowego dostępu do systemów oraz potencjalnej integracji operacyjnej z botnetem Mozi, który został zamknięty przez chińskie władze pod koniec 2023 roku.

CloudSEK zauważył, że botnet Androxgh0st próbował wykorzystać luki w zabezpieczeniach Cisco, Atlassian, Metabase, Sophos, Oracle, OptiLink, Produkty TP-Link, Netgear i GPON, a także w PHP i wtyczce WordPress. Lista wykorzystanych luk obejmuje lukę w zabezpieczeniach Cisco ASA CVE-2014-2120.

Firma zajmująca się bezpieczeństwem zauważyła setki urządzeń, które zostały naruszone przez botnet Androxgh0st.

W przypadku CVE-2014-2120 hakerzy próbowali wykorzystać lukę, używając specjalnie spreparowanych żądań, które umożliwiłyby zdalne przesyłanie dowolnych plików i dodawanie złośliwego kodu do plików PHP na serwerze, w celu uzyskania stałego dostępu do środowiska. Zgodnie z wcześniejszymi raportami Androxgh0st umożliwia cyberprzestępcom uzyskanie dostępu do stron internetowych i systemów biznesowych oraz zdobycie poufnych informacji, takich jak dane uwierzytelniające. Mogą oni wykorzystywać naruszone systemy do przeprowadzania dalszych ataków, w tym wydobywania kryptowalut i ataków DDoS.