След като миналата седмица бе съобщено, че китайският колектив Salt Typhoon, известен с шпионирането на комуникационни мрежи, е използвал уязвимост на Cisco, за да проникне в големи американски телекомуникационни доставчици миналата есен, включително T-Mobile, AT&T и Verizon, мрежовият гигант потвърди тази дейност и предложи подробности за два основни вектора на атака.

Изследователите от Cisco Talos заявиха, че векторите на атака включват използване на по-стара уязвимост в сигурността, проследена като CVE-2018-0171; и използване на откраднати идентификационни данни за вход, за да се получи достъп до инфраструктурата. Според изследователите извършителят е успял да запази достъпа до тези компрометирани среди за продължителни периоди от време, а в един случай – за повече от три години, което е проправило пътя за ексфилтрация на конфигурацията, завъртане на инфраструктурата и промяна на конфигурацията.

Въпреки че в кампанията не са открити нови уязвимости на Cisco, Cisco заяви, че получава и съобщения, че Salt Typhoon злоупотребява с поне три други известни уязвимости на Cisco: CVE-2023-20198, CVE-2023-20273 и CVE-2024-20399. Потребителите трябва незабавно да закърпят тези уязвимости.

Приписването на Salt Typhoon зависи от няколко улики, според Cisco Talos. „Има няколко причини да се смята, че тази дейност се извършва от високотехнологичен, добре финансиран колектив, включително целенасоченият характер на тази кампания, дълбоките нива на разработен достъп до мрежите на жертвите и обширните технически познания на извършителя“, заявиха изследователите. „Освен това дългият график на тази кампания предполага висока степен на координация, планиране и търпение – стандартни отличителни белези на напредналите устойчиви заплахи (APT) и спонсорираните от държавата участници.“

В допълнение към кръпките изследователите препоръчват да се прилагат най-добрите практики за киберсигурност, като например да се обучават потребителите на хигиена на удостоверенията и да се следят най-новите съвети за сигурност.