APT28是一个由俄罗斯军事情报部门运作的国家支持的黑客组织，据美国和英国政府称，黑客正在利用思科路由器中一个六年前的漏洞来部署恶意软件和进行监视。在周二发布的一份联合公告中，美国网络安全机构CISA与联邦调查局、国家安全局和英国国家网络安全中心一起详细说明了俄罗斯支持的黑客如何在整个2021年利用思科路由器的漏洞，目的是针对欧洲组织和美国政府机构。 咨询报告说，黑客还入侵了”大约250名乌克兰受害者”，这些机构没有透露姓名。APT28也被称为Fancy Bear，以代表俄罗斯政府进行一系列网络攻击、间谍活动以及黑客和泄密信息行动而闻名。 根据联合公告，黑客利用了思科在2017年修补的一个可远程利用的漏洞，部署了一个被称为”美洲豹牙”的定制恶意软件，该软件旨在感染未打补丁的路由器。 为了安装该恶意软件，威胁者使用默认或容易猜测的SNMP社区字符串扫描面向互联网的思科路由器。 SNMP，即简单网络管理协议，允许网络管理员远程访问和配置路由器，以代替用户名或密码，但也可能被滥用来获取敏感的网络信息。一旦安装，该恶意软件就会从路由器中渗出信息，并提供对设备的隐秘后门访问。 思科Talos的威胁情报总监Matt Olney在一篇博文中说，这次活动是”一个更广泛的趋势，即复杂的对手将网络基础设施作为目标，以推进间谍活动的目标或为未来的破坏性活动做准备”的一个例子。 “思科对网络基础设施的高精尖攻击率的增加深感担忧–我们已经观察到了，并且看到了由各种情报组织发布的许多报告所证实的情况–表明国家支持的行为者正在瞄准全球的路由器和防火墙，”奥尔尼补充说，除了俄罗斯之外，还有其他国家支持的黑客被发现在一些活动中攻击网络设备，例如利用Fortinet设备的一个零日漏洞，对政府组织进行了一系列攻击。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7223790451927548420/ 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，近日思科发布了新的安全公告，指出 IP 电话（网络电话） 7800 和 8800 系列某个固件中存在高危漏洞，一旦攻击者成功利用该漏洞，或引发远程代码执行或拒绝服务（DoS）情况。 漏洞被追踪为 CVE-2022-20968（CVSS 评分：8.1），由 Qianxin Group Legendsec Codesafe 团队的 Qian Chen 发现并报告。据悉，漏洞产生的原因是在收到 Cisco 发现协议（CDP）数据包时，存在输入验证不足的情况，思科目前正在积极开发新补丁来解决漏洞问题。 注：通过运行 CDP 协议，思科设备能够在与它们直连的设备之间分享有关操作系统软件版本，以及 IP 地址，硬件平台等相关信息。（默认情况下自动开启。） 漏洞最早要明年一月才能修复 2022 年 12 月 8 日，Cisco 在一份公告中表示，潜在攻击者可以通过向受影响设备发送“精心制作”的思科发现协议流量来利用这一漏洞，若成功利用漏洞，潜在攻击者能够造成堆栈溢出，导致受影响设备上可能出现远程代码执行或拒绝服务（DoS）的情况。 值得一提的是，漏洞主要影响运行固件版本 14.2 及更早版本的Cisco IP 电话，思科方面声称目前暂时没有更新补丁和解决方案来解决该问题，但公司正在加紧开发更新补丁，计划在 2023 年 1 月发布。 此外，在同时支持 CDP 和链路层发现协议（LLDP）用于邻居发现的部署中，用户可以选择禁用 CDP，以便受影响的设备能够切换到 LLDP，向局域网（LAN）中直连的对等设备公布其身份和能力。这种变化可能会带来其它安全风险，需要企业努力评估设备可能会受到的任何潜在影响。 最后，思科强调，CVE-2022-20968 漏洞虽已被公开披露，但迄今为止，没有证据表明该漏洞在野外被积极滥用。   转自 Freebuf，原文链接：https://www.freebuf.com/news/352199.html 封面来源于网络，如有侵权请联系删除  

Hackernews 编译，转载请注明出处： 一位研究人员揭示了如何绕过思科安全电子邮件网关设备中的一些过滤器，并使用特制的电子邮件发送恶意软件。 研究人员在完整披露邮件列表中写道：“本报告是在协调的披露程序内发布的。研究人员一直与供应商保持联系，但在规定的时间范围内没有收到满意的答复。由于攻击复杂度较低，而且第三方已经发布了漏洞攻击，因此在公开线程方面不能再有任何推迟。” 研究人员解释说，利用电子邮件客户端的容错能力和不同的MIME解码能力，远程攻击者可以绕过思科安全电子邮件网关。 研究人员披露的方法可能会让攻击者绕过思科安全电子邮件网关，他们可以针对Outlook、Thunderbird、Mutt和Vivaldi等多个电子邮件客户端。 这三种方法是： 方法1：Cloaked Base 64-使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法会影响多个电子邮件客户端，包括Microsoft Outlook for Microsoft 365 MSO（版本2210 Build 16.0.15726.20070）64位、Mozilla Thunderbird 91.11.0（64位）、Vivaldi 5.5.2805.42（64位）、Mutt 2.1.4-1ubuntu1.1等。 方法2:yEnc编码-使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法影响Mozilla Thunderbird 91.11.0（64位）电子邮件客户端。 方法3：隐藏引用的可打印文件-已使用包含Eicar测试病毒的zip文件和带有AsyncOS 14.2.0-620、14.0.0-698等的Cisco安全电子邮件网关成功测试了此漏洞。该方法影响Vivaldi 5.5.2805.42（64位）和Mutt 2.1.4-1ubuntu1.1电子邮件客户端。 思科发布了一份错误报告，警告思科安全邮件网关的Sophos和McAfee扫描引擎存在一个问题，该问题可能允许未经身份验证的远程攻击者绕过特定的过滤功能。 报告中写道：“这个问题是由于对潜在恶意电子邮件或附件的识别不当。攻击者可以利用这个漏洞，通过受影响的设备发送带有格式错误的内容类型标头（MIME类型）的恶意电子邮件，从而绕过基于受影响的扫描引擎的默认反恶意软件过滤功能，并成功将恶意消息传递给最终客户端。” 这些漏洞会影响使用默认配置运行的设备。 研究人员解释说，使用攻击方法的代码，以及许多操纵MIME编码的类似技术，都是在一个开源工具包中实现的，该工具包可以在GitHub上生成和测试错误的MIME。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Bleeping Computer 网站披露，思科公司已经确认 Yanluowang 勒索软件团伙泄露的数据是黑客在5月份一次网络攻击中从该公司网络中窃取的。 值得一提的是，思科方面在一份公告中表示，此次数据泄漏事件不会对公司业务有任何影响。 公告中部分内容： 2022 年 9 月 11 日，黑客将相同文件的实际内容发布到了暗网同一位置上，这些文件的内容与公司已经识别和披露的内容相符。思科方面认为对公司业务没有影响，包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营等。 据悉，早在 8 月份的一份报告中，思科就宣布在黑客入侵员工 VPN 帐户后，其网络已被 Yanluowang 勒索软件入侵。随后思科强调被盗的数据包括该员工 Box 文件夹中的非敏感文件，攻击在 Yanluowang 勒索软件开始加密系统之前就已被遏制。 黑客声称窃取了55GB的数据 有意思的是，黑客表示事情并不是思科所说的那样，Yanluowang 幕后主使人向 BleepingComputer 透露，该组织窃取了思科成千上万的文件，总计达到了 55 GB ，文件主要包括机密文件、技术原理图和源代码。 不过，该名黑客没有提供任何证据，只分享了一张截图（表明可以访问似乎是开发系统的界面），因此 BleepingComputer 也无法核实这一说法的准确性。当被要求对此事发表评论时，思科否认了入侵者能够访问任何源代码的可能性。 公司没有证据表明攻击者访问了思科产品的源代码，也没有任何超出我们已经公开披露的实质性访问——思科 上月末，网络安全公司eSentire的研究团队发表了一份报告，其中有证据表明 Yanluowang、“Evil Corp”（UNC2165）和 FiveHands 勒索软件（UNC2447）之间存在关联。但Yanluowang勒索软件团伙告诉 BleepingComputer，他们在攻破思科时是单独行动，与这些派别都没有关系。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344378.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 思科修复了一个严重漏洞，跟踪为CVE-2022-20866，影响自适应安全设备(ASA)和火力威胁防御(FTD)软件。 该漏洞影响了运行思科ASA软件和FTD软件的设备对RSA密钥的处理，未经身份验证的远程攻击者可以触发该漏洞以检索RSA私钥。一旦获得密钥，攻击者可以模拟运行ASA/FTD软件的设备或解密设备流量。 “RSA密钥存储在执行硬件加密的平台内存中时，存在逻辑错误，从而引起该漏洞。攻击者可以通过对目标设备使用Lenstra侧通道攻击来利用此漏洞，成功利用可使攻击者检索RSA私钥。”IT巨头发布的公告中写道。 该公告指出，在受影响的设备上可能会观察到以下情况： 此问题将影响运行易受攻击的ASA软件或FTD软件的设备上大约5%的RSA密钥；并非所有RSA密钥都会因应用于RSA密钥的数学计算而受到影响。 RSA密钥可能有效，但它具有特定的特征，容易受到RSA私钥潜在泄露的影响。 RSA密钥可能格式不正确且无效。格式错误的RSA密钥不起作用，并且TLS客户端连接到运行思科ASA软件或FTD软件的设备，如果使用格式错误的RSA密钥，将导致TLS签名失败，这意味着易受攻击的软件版本创建了无效的RSA签名，无法通过验证。如果攻击者获取RSA私钥，他们可以使用该密钥来模拟运行思科ASA软件/FTD软件的设备，或解密设备流量。 该漏洞会影响运行易受攻击的思科ASA（9.16.1及更高版本）或思科FTD（7.0.0及更高版本）软件的产品，这些软件执行基于硬件的加密功能： ASA 5506-X with FirePOWER Services ASA 5506H-X with FirePOWER Services ASA 5506W-X with FirePOWER Services ASA 5508-X with FirePOWER Services ASA 5516-X with FirePOWER Services Firepower 1000 Series Next-Generation Firewall Firepower 2100 Series Security Appliances Firepower 4100 Series Security Appliances Firepower 9300 Series Security Appliances Secure Firewall 3100 思科建议ASA/FTD设备的管理员删除格式错误或易受攻击的RSA密钥，并吊销可能与这些RSA密钥相关的任何证书，因为RSA私钥可能已泄露给攻击者。 思科对加州大学圣地亚哥分校的Nadia Heninger和George Sullivan以及科罗拉多大学博尔德分校的Jackson Sippe和Eric Wustrow报告该安全漏洞表示感谢。 产品安全事件响应团队尚未发现有利用此漏洞进行的野外攻击。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

2022年8月10日，思科证实，Yanluowang勒索软件集团在今年5月下旬入侵了公司网络，攻击者试图以泄露被盗数据威胁索要赎金。 对此，思科发言人表示，攻击者只能从与受感染员工帐户相关联的 Box 文件夹中获取和窃取非敏感数据，声称公司及时采取了相应行动进行遏制。 “思科未发现此事件对我们的业务造成任何影响，包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。8 月 10 日，攻击者将此次安全事件中的文件列表发布到了暗网。但思科采取了额外措施来保护系统，并分享技术细节以帮助保护更广泛的安全社区。” Yanluowang 发给 Cisco 的邮件 用于破坏思科网络的被盗员工凭证 Yanluowang 攻击者在劫持员工的个人 Google 帐户（包含从其浏览器同步的凭据）后，使用员工被盗的凭据获得了对思科网络的访问权限。随后，攻击者多因素身份验证 (MFA) 推送说服员工接受该通知，并假冒受信任的支持组织发起了一系列复杂的语音网络钓鱼攻击。 最终，攻击者者诱骗受害者接受其中一个 MFA 通知，并在目标用户的上下文中获得了对 VPN 的访问权限。一旦他们在公司的企业网络上站稳脚跟，Yanluowang运营商随即横向扩展到思科服务器和域控制器。 在获得域管理员权限后，他们使用 ntdsutil、adfind 和 secretsdump 等枚举工具收集更多信息，并将一系列有效负载安装到受感染的系统上，其中就包括后门。 在获得初始访问权限后，攻击者进行了各种活动来维护访问权限，最大限度地减少取证，并提高他们对环境中系统的访问级别。虽然思科检测到了该攻击行为并将其驱逐出环境，但在未来的几周内，Yanluowang依旧尝试重新获得访问权限，均未成功。 黑客声称从思科窃取数据 虽然思科一再强调，Yanluowang勒索组织在攻击期间没有在其网络上部署任何勒索软件。 Talos 专家在报告中指出，“我们没有在这次攻击中观察到勒索软件的部署，但使用的 TTP 与“勒索软件前活动”一致，这是在受害者环境中部署勒索软件之前通常观察到的活动。观察到的许多 TTP 与 CTIR 在之前的交战中观察到的活动是一致的。我们的分析还建议重用与这些先前参与相关的服务器端基础设施。在之前的活动中，我们也没有观察到勒索软件在受害者环境中的部署。” 但攻击者声称已经从窃取了2.75GB数据，大约有3100个文件，其中很多文件涉及保密协议、数据转储和工程图纸。此外，攻击者还公布了一份在攻击中被盗的经过编辑的 NDA 文件，作为攻击的证据，并“暗示”他们破坏了思科的网络并泄露了文件。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341607.html 封面来源于网络，如有侵权请联系删除

近日，思科修复了一组影响小型企业 VPN 路由器的关键漏洞，该组漏洞允许未经身份验证的攻击者在易受攻击设备上执行任意代码或指令。 安全研究人员在基于 Web 管理界面和 Web 过滤器的数据库更新功能中发现了这组安全漏洞（分别追踪为 CVE-2022-20842 、 CVE-2022-20827 ），经过分析后发现，该组漏洞均是由输入验证不足引起的。 这些漏洞影响的路由器主要包括 Small Business RV160、RV260、RV340和 RV345 系列 VPN 路由器（CVE-2022-20842 仅影响最后两个）。 受漏洞影响的路由器系列 攻击者利用漏洞能够执行任意命令 安全研究人员披露，攻击者可以利用 CVE-2022-20842 配合精心制作的 HTTP 输入，在底层操作系统上以“root”身份执行任意代码或重新加载设备，从而导致 DoS 条件。 对于 CVE-2022-20827，攻击者能够利用该漏洞向 Web 过滤器数据库更新功能提交精心设计的输入指令，以“ root”权限在底层操作系统上执行任意命令。 上述漏洞由 IoT Inspector 研究实验室、Chaitin 安全研究实验室和 CLP 团队的安全研究人员发现。目前，思科已经发布了软件更新来解决这两个漏洞，但强调没有解决方法能够消除攻击向量。 其它漏洞也已修复 值得一提的是，思科近日修补了 RV160、RV260、RV340 和 RV345 系列路由器开放即插即用 (PnP) 模块中的高严重性漏洞 (CVE-2022-20841)。如果用户不及时更新补丁，攻击者可以利用该漏洞向未打补丁的设备发送恶意指令，在底层 Linux 操作系统上执行任意操作。 上月，思科还解决了 Cisco Nexus Dashboard 数据中心管理解决方案中的另一组严重安全漏洞，这些漏洞允许未经身份验证的攻击者使用 root 或管理员权限远程执行任意命令和操作。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341009.html 封面来源于网络，如有侵权请联系删除

近期，思科解决了Cisco Nexus Dashboard数据中心管理解决方案中的严重漏洞，这些漏洞可让远程攻击者以root或管理员权限执行命令和操作。 第一个安全漏洞（被评为严重严重性漏洞，编号为 CVE-2022-20857）使未经身份验证的威胁参与者能够通过发送HTTP 请求来访问API，并以root 权限远程执行任意命令。 第二个漏洞（Web UI 中的一个高严重性漏洞，编号为 CVE-2022-20861）允许远程攻击者通过欺骗经过身份验证的管理员单击恶意链接来进行跨站点请求伪造攻击。 对此，思科也作出了解释，利用该漏洞可能允许攻击者在受影响的设备上以管理员权限执行操作。而近期修补的另一个高严重性安全漏洞 (CVE-2022-20858) 可以让未经身份验证的远程攻击者通过打开与容器镜像管理服务的TCP连接来下载容器镜像或将恶意镜像上传到受影响的设备。幸运的是，正如思科在发布的安全公告中解释的那样，恶意图像将在设备重启或Pod重启后运行。不过这些漏洞影响Cisco Nexus Dashboard 1.1及更高版本。思科已解决近期发布的2.2(1e)安全更新中的漏洞，并建议客户尽快迁移到固定版本。 这些安全漏洞是由思科高级安全计划小组 (ASIG) 的安全研究人员在内部安全测试期间发现的。思科的产品安全事件响应团队 (PSIRT) 表示，目前暂不知道公开可用的漏洞利用或在野外的积极利用。同时思科还修补了Cisco Nexus 仪表板的SSL/TLS实施中的第四个漏洞 (CVE-2022-20860)，该漏洞可能让未经身份验证的远程威胁参与者通过拦截中间人攻击中的流量来改变通信，利用该漏洞还可能允许攻击者查看敏感信息，包括受影响控制器的管理员凭据。思科表示之所以存在此漏洞，是因为当 Cisco Nexus Dashboard 与 Cisco 应用策略基础设施控制器 (APIC)、Cisco Cloud APIC 或 Cisco Nexus Dashboard Fabric Controller（以前的数据中心网络管理器 (DCNM) 控制器）建立连接时，未验证 SSL 服务器证书。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339721.html 封面来源于网络，如有侵权请联系删除

思科于本周通知其用户修补一个严重漏洞，该漏洞可能允许攻击者绕过身份验证并登录到思科电子邮件网关设备的Web管理界面。该安全漏洞(编号为CVE-2022-20798)是在思科电子邮件安全设备(ESA)以及思科安全电子邮件和Web管理器设备的外部身份验证功能中发现的。该编号为CVE-2022-20798的漏洞是由于受影响设备使用LDAP (Lightweight Directory Access Protocol)进行外部认证时，认证检查不正确导致的。 对此，思科在回应中并表示，攻击者可以通过在受影响设备的登录页面上输入特定输入来利用此漏洞，成功的利用可能允许攻击者未经授权访问受影响设备的管理界面。该漏洞是在解决 Cisco TAC（技术援助中心）支持案例期间发现的，思科的产品安全事件响应团队 (PSIRT) 表示，目前还没有利用此安全漏洞的消息，且此漏洞仅影响配置为使用外部身份验证和LDAP作为身份验证协议的设备。不过据思科称，默认情况下外部身份验证功能是禁用的，这意味着只有具有非默认配置的设备才会受到影响。如需检查设备上是否启用了外部身份验证，请登录基于Web的管理界面，转至系统管理 > 用户，然后在“启用外部身份验证”旁边查找绿色复选框。思科还表示，此漏洞不会影响其他安全网络设备产品，比如思科网络安全设备 (WSA)。无法立即安装CVE-2022-20798安全更新的管理员也可以禁用外部经过身份验证服务器上的匿名绑定来解决此问题。 今年2月份，思科还修复了另一个安全电子邮件网关漏洞 ，该漏洞可能允许远程攻击者使用恶意制作的电子邮件使未修补的设备崩溃。同时，思科也表示不会修复影响RV110W、RV130、RV130W和RV215W SMB等即将停产的路由器关键零日漏洞，该漏洞允许攻击者以根级权限执行任意命令。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/336376.html 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，思科解决了一个影响 iOS XR 软件的中等严重性漏洞，该漏洞在野外被积极利用。 近日，思科发布安全更新，解决影响 iOS XR 软件的一个中等严重程度漏洞，该漏洞被追踪为 CVE-2022-20821 （CVSS评分：6.5），分析结果显示，威胁攻击者在野外攻击中积极利用了这一漏洞。 据悉，该漏洞存在于思科 iOS XR 软件的健康检查 RPM 中，远程攻击者可以利用该漏洞，在未经认证的情况下，访问在 NOSi 容器中运行的 Redis 实例。 从思科发布的安全公告来看，漏洞之所以存在，主要是因为健康检查 RPM 在激活时默认打开 TCP 6379 端口，这时候，攻击者可以通过连接到开放端口的 Redis 实例来利用这一漏洞。 当攻击者成功利用这一漏洞后，就可以任意写内容到 Redis 内存数据库里，写任意文件到容器文件系统中，并检索有关 Redis 数据库的信息。但是，鉴于 Redis 实例运行配置的沙盒容器，远程攻击者将无法执行远程代码或滥用思科 iOS XR 软件主机系统的完整性。 漏洞其他详情 经研究发现，该漏洞主要影响安装了健康检查 RPM，并处于活动状态的思科 8000 系列路由器。至于怎样确定设备是否存在安全漏洞，用户可以发出  run docker ps CLI  命令，如果输出返回了名称为  NOSi  的 docker 容器，则该设备存在漏洞。 漏洞解决方法如下: 选项1：禁用健康检查并明确禁用用例。 选项2：使用基础设施访问控制列表（iACLs），阻止 6379 端口。 值得一提的是，思科 PSIRT 已经意识到，部分攻击者企图在野外利用这个漏洞，强烈建议客户应用合适的解决方法，或者升级到固定的软件版本，迅速补救这个漏洞，以免造成严重后果。 转自 Freebuf，原文链接：https://www.freebuf.com/news/333973.html 封面来源于网络，如有侵权请联系删除