ארה"ב: "דרושה תגובת חירום" למתקפה על רכיבי הגנה של סיסקו

צמד פגיעויות מסוג יום אפס, שמשפיעות על התקני אבטחה של סיסקו, גרמו לסוכנות לאבטחת סייבר ותשתיות של ארצות הברית (CISA) להוציא בסוף השבוע "הוראת חירום", שמחייבת סוכנויות פדרליות לזהות, לנתח ולצמצם את הפרצות הפוטנציאליות – "ולעשות זאת באופן מיידי".

לפי הסוכנות, רכיבי אבטחה של ענקית התקשורת וה-IT, מסוג ASA (ר"ת Adaptive Security Appliance) ו-Firepower, "נצפו כמי שנוצלו בהתקפות".

סיסקו הודיעה ביום ה' האחרון כי "שחקני איומים ניצלו את הפגמים, והם משפיעים על רכיבים ומכשירים מסוימים שלנו".

אחת מהפגיעויות, CVE-2025-20333, מדורגת בדרגת חומרה קריטית, ופגיעות נוספת, CVE-2025-20362, היא בעלת דרגת חומרה בינונית. סיסקו ציינה בהודעתה כי "כאשר הן משורשרות יחד, הן עלולות לאפשר לתוקף מרוחק, שאינו מאומת, להשיג שליטה מלאה על המכשירים הללו". על פי החברה, "הראיות שנאספו מצביעות בבירור על כך ששתי הפגיעויות שימשו את התוקף בקמפיין מתקפה עכשווי". היא מסרה שהפגיעויות טופלו במסגרת עדכוני תוכנה, הזמינים כעת.

סיסקו: התוקף – שחקן איום בחסות מדינה

"במהלך חקירה עם כמה סוכנויות ממשל, גילינו שלוש פגיעויות חדשות, שמשפיעות על רכיבים מסוימים מסדרת ASA 5500-X. הן מריצות את תוכנת Cisco Secure Firewall ASA עם שירותי VPN. אנחנו מייחסים את המתקפות הללו לשחקן איום בחסות המדינה, שעמד מאחורי קמפיין Arcane Door, שעליו דיווחנו ב-2024", נמסר מסיסקו. ענקית הטק לא ציינה את זהות המדינה שמגבה את התוקפים. החברה "ממליצה בחום" לשדרג את המכשירים המושפעים לתוכנה המעודכנת, שכאמור זמינה.

CISA הנחתה את כלל הסוכנויות הפדרליות לזהות את כל המקרים בהם הופעלו התקנים אלה של סיסקו, ולאחר מכן לאסוף ולשדר את קבצי הזיכרון אליה, לניתוח משפטי – ולעשות זאת עד חצות של יום ו'. על אף שההנחיה חלה רק על סוכנויות פדרליות, הסוכנות קראה "לכל ארגוני המגזר הציבורי והפרטי לבחון את הוראת החירום ואת המשאבים הנלווים, ולנקוט בצעדים כדי להפחית את הפגיעות הללו".

"מתקפות שמבוצעות על ידי מדינה – איום מתמשך"

באפריל 2024 חשפה סיסקו כי קמפיין ריגול מתוחכם בחסות מדינה, המכונה ArcaneDoor, ניצל שתי פגיעויות יום אפס בתוכנת הפיירוול שלה. הקמפיין התמקד ברשתות ממשלתיות ברחבי העולם, ו-"הדגים את היכולות המתקדמות של התוקפים ואת הידע המעמיק שלהם על המכשירים הממוקדים".

הקמפיין בוצע על ידי שחקן איום שלא היה ידוע בעבר, שזכה לכינוי UAT4356. בשל המיקוד שלו ברשתות ממשלתיות ברחבי העולם, ועקב העובדה שמדובר בשחקן איום בחסות מדינה, החוקרים העריכו שמדובר במתקפת סייבר שמטרתה ריגול. הקמפיין זוהה כבר בתחילת נובמבר 2023, כאשר עיקר הפעילות שלו התרחשה בין דצמבר 2023 לראשית ינואר 2024. על פי ההודעה של סיסקו מאז, שחקן האיום השתמש ב-"כלים מותאמים אישית, הפגין התמקדות ברורה בריגול וידע מעמיק של התקני הרשת הממוקדים. התחכום של המתקפה והמיקוד הספציפי מדגישים את האיום המתמשך הנשקף מגורמי איום מתקדמים בסייבר, שנתמכים על ידי מדינה".