Salt Typhoon 威胁组织利用较旧的漏洞破坏了思科边缘设备

根据 Recorded Future 旗下 Insikt Group 周四发布的研究报告，Salt Typhoon（Recorded Future 称之为“RedMike”）在 2024 年 12 月至 2025 年 1 月期间发起了一场针对未打补丁的思科边缘设备的攻击活动。Insikt Group 研究人员观察到，该威胁组织在两个月内试图入侵全球 1,000 多台此类设备。

具体来说，Salt Typhoon 最初利用了Cisco IOS XE 软件 Web 用户界面中的权限提升漏洞CVE-2023-20198来获取 root 访问权限，并利用相关权限提升漏洞CVE-2023-20273来获取 root 访问权限。

这两个漏洞都是在 2023 年 10 月作为0day漏洞披露的，当时这些漏洞被广泛利用，并已感染了数千台设备。

Insikt Group 研究人员发现，五家机构的思科设备遭到入侵，其中包括一家美国电信和互联网服务提供商以及一家英国电信提供商的美国分支机构。研究人员还发现，Salt Typhoon 针对的是全球多所大学的思科设备，包括加州大学洛杉矶分校、洛约拉马利蒙特大学、犹他理工大学和加州州立大学。

报告称：“RedMike 可能针对这些大学，以获取与电信、工程和技术相关领域的研究，特别是加州大学洛杉矶分校和代尔夫特理工大学等机构的研究。”

Insikt Group 发现，超过一半的思科设备位于美国、南美和印度，还发现超过 12,000 台思科设备的网络用户界面暴露在互联网上。

Recorded Future 称，报告中描述的五家电信提供商是研究人员能够确认成功利用思科漏洞的唯一案例。Recorded Future 不排除其他设备和组织也受到攻击。

Insikt Group 研究人员表示，一些组织在思科零日漏洞首次披露一年多后仍未缓解这些漏洞。

“补丁管理和部署是一个具有挑战性的问题，尤其是在拥有数万个工作站和支持网络设备的大型企业中。”“有效且安全的补丁部署涉及测试和验证、规划停机时间（这对员工和客户来说都非常昂贵且具有破坏性），以及调整补丁可能意外中断的工作流程或自动化。”

Recorded Future 建议各组织优先修补此类设备中的漏洞，并监控配置更改。此外，研究人员敦促用户避免在互联网上公开面向公众的设备管理界面和非必要服务。

技术报告：

https://go.recordedfuture.com/hubfs/reports/cta-cn-2025-0213.pdf

新闻链接：

https://www.cybersecuritydive.com/news/china-backed-hackers-continue-cyberattacks-on-telecom-companies/740066/