Šta se desilo?

Bezbednosni istraživači su otkrili da je Cisco mrežna brana koju koristi američka federalna agencija inficirana sa zlonamernom programom pod nazivom Firestarter. Ova zlonamerna programa omogućava napadačima da steknu daljinski pristup i kontrolu nad zahvaćenim uređajima, čak i nakon što se rupe u sigurnosti isprave.

Koga pogađa?

Trenutno je potvrđeno da je zahvaćena američka federalna agencija. Pošto je Cisco oprema široko korišćena u celom svetu, potencijalni rizik postoji za druge vladine institucije, velike korporacije, telekomunikacijske kompanije i druge organizacije koje koriste slične Cisco mrežne aparate kao kritičnu infrastrukturu.

Kako se zaštititi?

  • Odmah primeni sve dostupne ispravke sigurnosti za Cisco mrežne aparate
  • Pravilno praćenje mrežnog saobraćaja za detekciju sumnjive aktivnosti
  • Proveri sve Cisco firewall uređaje za znakove neovlašćenog pristupa ili zlonamernih programa
  • Obezbedi dodatne nivoe autentifikacije za upravljanje mrežnim aparatima
  • Implementiraj sve-na-sve (zero-trust) arhitekturu mrežne sigurnosti
  • Redovno ažuriraj listu poznate zlonamernih programa na bezbednosnim alatima

Tehnički detalji

Firestarter zlonamerna programa zadržava sposobnost opstanka čak i nakon otklanjanja originalnih nedostataka sigurnosti (post-patching persistence), što je čini posebno opasnom jer standardne ispravke možda nisu dovoljne za njeno uklanjanje. Malver ima mogućnost daljinskog pristupa i potpune kontrole zahvaćenog uređaja.

Preporuka Sajber Radara

Sve organizacije koje koriste Cisco mrežne aparate trebaju hitno da pregledate svoje sisteme i da primenite najnovije bezbednosne ispravke. Zbog mogućnosti opstanka Firesartera nakon patčovanja, preporučuje se provera za znakove kompromitovanja i u slučaju sumnje - kompletan pregled i preinstalaciju kritičnih mrežnih aparata.