Pesquisadores divulgaram hoje que uma vulnerabilidade em firewall Cisco vem sendo explorada como zero-day em ataques atribuídos ao ransomware Interlock. Evidências apontam que a falha vem sendo abusada desde o fim de janeiro, com possíveis vínculos a atores russos.
De acordo com análise publicada, a vulnerabilidade no software de gerenciamento de firewall da Cisco permite a invasores burlar controles de segurança de perímetro e obter acesso inicial às redes alvo, sendo explorada antes mesmo de haver correção pública. Investigações indicam que o bug foi explorado de forma silenciosa por semanas, como parte da cadeia de ataque do ransomware Interlock, sugerindo conhecimento avançado da arquitetura de rede das vítimas.
O impacto se estende a organizações que utilizam esses firewalls como principal camada de defesa, incluindo empresas de médio e grande porte em diversos países; ambientes com presença na América Latina podem ser afetados, principalmente onde há dependência de dispositivos de perímetro sem segmentação interna robusta.
Recomenda-se aplicar imediatamente patches e mitigações fornecidos pela Cisco assim que disponíveis, revisar regras e políticas de acesso no firewall, implementar segmentação interna e monitorar indicadores de comprometimento associados ao Interlock. Equipes de segurança devem ainda revisar logs de gerenciamento desde janeiro à procura de sinais de exploração prévia e, se necessário, acionar resposta a incidentes.
Sistemas Afetados
- Firewalls Cisco afetados pela vulnerabilidade
- Redes corporativas que dependem desses appliances para perímetro
Fonte: SecurityWeek
Ler fonte original