公告摘要:
- 4月24日, 2024, 思科Talos和几个政府安全机构公布了一项复杂的威胁活动的细节,该活动的重点是间谍活动,并从关键基础设施的目标政府实体和组织获得未经授权的敏感信息.
- 虽然在本次活动中尚未确定初始访问媒介, 思科正在继续调查未经身份验证的远程代码执行(RCE)漏洞的可能性.
- 思科记录的活动涉及部署几个恶意软件植入物来进行恶意活动, 包括配置修改, 网络流量捕获, 横向运动.
- 根据思科, 攻击者利用以下漏洞在目标设备上建立持久性:
- CVE-2024-20353:拒绝服务(DoS) -允许未经身份验证, 远程攻击者导致设备意外重新加载, 导致DoS情况.
- CVE-2024-20359:持久的本地代码执行-允许经过身份验证的, 本地攻击者可以使用根级特权执行任意代码, 前提是他们具有管理员级别的特权.
