Oppdatering 25. april: Angrep mot SSLVPN-produkter i kritisk infrastruktur
NSM NCSC sendte 24. april ut et varsel om en avansert trusselaktør som utnytter flere nulldagssårbarheter i SSLVPN-produkter hos kritisk infrastruktur1. Følgende varsel er en oppdatering til dette. Dette varselet er primært tiltenkt samfunnsviktige virksomheter.
CCCS, NCSC-UK og ACSC skriver i sitt joint advisory [2] at det i hovedsak er Cisco ASA55xx-serien med firmware 9.12 og 9.14 som er utsatt i kampanjen. De skriver også at WebVPN i Cisco ASA misbrukes i kampanjen.
NCSC anbefaler spesielt virksomheter som kjører versjonene over og/eller WebVPN å gjennomføre tiltakene beskrevet av NCSC [1], CCCS/NCSC-UK/ACSC [2] og Cisco [3].
Inngangsvektor i kampanjen er fortsatt ukjent.
Referanser:
2https://www.cyber.gc.ca/en/news-events/cyber-activity-impacting-cisco-asa-vpns
3https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response