Cisco é uma das principais empresas que as organizações escolhem para garantir uma rede segura e sem surpresas. No entanto, nesta semana, uma notícia preocupante foi divulgada. A gigante da segurança empresarial está lidando com um ataque de zero-day, onde hackers podem ter controle total sobre sistemas afetados.
Assim que um sistema é comprometido, os invasores conseguem executar comandos com privilégios de root, o que significa que conseguem assumir o sistema operacional por completo e continuar sua atividade mesmo após reinicializações.
Na quarta-feira, a Cisco informou que o ataque está visando “um número limitado de dispositivos com portas específicas abertas para a internet, que estão rodando o Cisco AsyncOS para o Cisco Secure Email Gateway e o Cisco Secure Email and Web Manager.” A empresa pediu aos clientes que sigam as orientações para avaliar a exposição e mitigar riscos, além de garantir que estão investigando o problema e desenvolvendo uma solução definitiva.
### Como se Proteger
Até o momento, nenhuma correção foi implementada. Por isso, a Cisco recomenda que os sistemas expostos sejam restringidos. “Se um aparelho tiver a interface de gerenciamento web ou a porta de Spam Quarantine acessível pela internet, a Cisco recomenda seguir um processo em várias etapas para voltar o aparelho a uma configuração segura”, afirma o comunicado. “Se não for possível fazer a restauração, recomenda-se entrar em contato com o suporte técnico para verificar se o aparelho foi comprometido.”
Os aparelhos devem ser restaurados a uma configuração segura ou o suporte técnico deve ser acionado caso haja suspeita de invasão. Se a violação for confirmada, será necessário reconstruir o dispositivo.
É aconselhável limitar o acesso à internet ou restringi-lo apenas a hosts confiáveis. É importante também colocar os aparelhos atrás de firewalls, desativar serviços desnecessários e separar funções de e-mail das funções de gerenciamento. Além disso, deve-se monitorar os logs, manter o AsyncOS atualizado, utilizar autenticação forte, alterar senhas padrão de administrador e proteger o acesso com SSL/TLS. Até que a correção chegue, uma configuração rígida e controle de exposição são a melhor defesa.
O Cisco Talos, a unidade de inteligência de ameaças da empresa, apontou que a campanha está ligada a atores de ameaças alinhados à China, um padrão familiar em ataques a infraestruturas de alto valor. Este não é o primeiro encontro da Cisco com hackers vinculados a estados. Em 2024, invasores exploraram equipamentos de Segurança Adaptativa da Cisco para acessar redes governamentais no mundo todo, gerando alertas das autoridades dos EUA.
### Outras Maneiras de Reduzir Risco
Além das recomendações imediatas da Cisco, especialistas em segurança sugerem que as organizações tenham uma visão mais ampla sobre a gestão de exposição, especialmente para produtos de infraestrutura que estão na borda das redes corporativas.
Esse trabalho inclui auditorias regulares para identificar quais serviços estão expostos na internet, limitar interfaces administrativas a redes internas ou VPNs e impor controles de acesso rigorosos em sistemas críticos. As empresas também devem revisar práticas de registro e alerta para detectar rapidamente atividades suspeitas, especialmente em sistemas que tratam de e-mails, autenticação ou tráfego de rede.
Além disso, revisões regulares de configuração e segmentação de rede, juntamente com exercícios de resposta a incidentes, podem ajudar a reduzir o impacto de exploits zero-day quando acontecerem. Mesmo que essas medidas não impeçam vulnerabilidades desconhecidas de aparecerem, elas podem limitar significativamente a movimentação dos atacantes uma vez que um sistema seja comprometido.
### Conclusão
Em resumo, a situação é clara. Os ataques cibernéticos modernos estão mudando de uma exploração em massa para compromissos mais profundos em infraestruturas que são essenciais para redes empresariais. Os fornecedores de segurança deixaram de ser apenas defensores; agora, eles também são alvos.
Para as organizações, a lição não é abandonar plataformas de confiança, mas sim tratar a configuração, a exposição e o monitoramento como controles de segurança primários. Mesmo os fornecedores mais respeitáveis podem ser pegos de surpresa. O que faz diferença agora é a rapidez com que os clientes conseguem detectar, conter e se recuperar quando isso acontece.
A Cisco está investindo pesado em segurança cibernética ao adquirir a empresa de software de cibersegurança Splunk em um negócio avaliado em 28 bilhões de dólares em dinheiro, pagando 157 dólares por ação. A Splunk fornece software para busca, monitoramento e análise de dados gerados por máquinas via uma interface estilo web, ajudando empresas a monitorarem suas operações e a melhorarem a segurança dos dados.
Assim, as empresas precisam estar sempre atentas e preparadas para enfrentar os riscos de segurança. É fundamental revisar constantemente as configurações e as práticas de segurança para se proteger contra possíveis ameaças. Com planejamento e cautela, cada organização pode se manter firme frente às constantes mudanças no cenário cibernético.