Cisco

  • Когато защитата атакува: пробивът в ЕК и новата реалност в киберсигурността

    Пробивът в cloud инфраструктурата на Европейската комисия от края на март 2026 г. вече има по-ясен контекст – и той променя правилата на играта. Първоначалната новина очерта инцидент в инфраструктурата. Новите разкрития показват нещо по-съществено: атаката влиза през инструмент, създаден да защитава. Supply chain атака, която превръща доверието в уязвимост.

    Как започва всичко: компрометиран инструмент

    Разследванията свързват инцидента с Trivy – широко използван security scanner, интегриран в CI/CD процеси. Атаката таргетира GitHub Actions pipeline-и, което позволява компрометиране още на етап build.

    Този модел променя класическата представа за пробив:

    • атака се насочва към доверен инструмент
    • инструментът се използва масово в автоматизирани процеси
    • зловредният код се разпространява чрез легитимни pipeline-и

    Резултатът е пробив, който изглежда като нормална дейност.

    Повтарящ се модел: от ЕК до Cisco

    Случаят с Европейската комисия се вписва в по-широка тенденция. Конкретно само атаката срещу Trivy вече засегна доказано и публично признато:

    • LiteLLM – чрез сходен supply chain сценарий
    • Cisco – с изтичане на сорс код от компрометирана среда

    Тези примери показват ясно: пробивът вече се случва и през веригата на доставки, а не директно срещу периметъра.

    Домино ефектът в модерната киберсигурност

    Supply chain атаките рядко спират до една организация. Един компрометиран компонент може да се разпространи в десетки среди за минути.

    Как се разгръща ефектът

    • един инструмент или библиотека се компрометира
    • интеграцията в CI/CD разпространява промяната автоматично
    • засегнати стават множество системи и организации
    • детекцията се усложнява заради легитимния произход

    Този модел създава ефект на верижна реакция, който изисква различен подход към управлението на риска.

    Скоростта в ерата на AI

    Развитието на AI ускорява както разработката, така и атаките. Времето между компрометиране и масово разпространение се измерва в часове.

    Съвременната киберсигурност изисква баланс между скорост и контрол – бързи реакции, подкрепени от внимателна преценка.

    Контекстът показва, че автоматизацията работи в две посоки – същите процеси, които ускоряват development-а, ускоряват и атаките.

    Балансът между ъпдейти и контрол

    Съвременните среди изискват навременни ъпдейти, за да се адресират zero-day уязвимости. В същото време автоматичното внедряване на всяка нова версия носи нов риск.

    Случаите с Trivy и Axios показват двата края на спектъра:

    • забавен ъпдейт увеличава риска от експлоатация
    • неконтролиран ъпдейт увеличава риска от supply chain атака

    Този баланс се превръща в ключова тема за всяка организация, която разчита на модерни DevOps практики.

    Какво означава това за България

    Българските компании все по-често използват CI/CD, cloud услуги и външни зависимости. Това поставя локалния бизнес в същата рискова категория като глобалните организации.

    Екипи, които работят с:

    • автоматизирани deployment-и
    • open-source библиотеки
    • външни security инструменти

    се намират в директна зависимост от сигурността на глобалната supply chain.

    Темата вече има пряко значение за българската ИТ екосистема и начина, по който се управляват зависимости и процеси.

    Пробивът в Европейската комисия очертава (позната) нова реалност в киберсигурността, в която доверието към инструментите изисква същото внимание, както и самата защита.

    • Навременните ъпдейти остават критични за защита от нови уязвимости
    • Контролираното внедряване добавя слой сигурност срещу supply chain атаки
    • Разбирането на зависимостите се превръща в стратегическо предимство

    Разговорът за киберсигурност днес включва повече от защита на периметъра. Организациите, които изграждат процеси около доверие, контрол и видимост, създават устойчива основа за развитие в среда с ускоряващи се рискове.

  • Внимание, администратори: Критична уязвимост в Cisco IOS XE Wireless Controller позволява пълен root достъп без автентикация

    Уязвимост CVE-2025-20188 с максимален риск (CVSS 10.0) позволява на атакуващ отдалечено да изпълни произволни команди с root права върху засегнати Cisco IOS XE Wireless LAN Controllers (WLCs) – без нужда от каквато и да е автентикация.

    Уязвимостта произтича от хардкоднати JSON Web Tokens (JWT) във фърмуера. Атакуващият може да изпрати специално създадени HTTPS заявки към интерфейса за изтегляне на имиджи на точките за достъп (AP), което позволява качване на файлове, преминаване през пътища и изпълнение на произволни команди с root привилегии.

    Засегнати продукти:

    • Catalyst 9800-CL Wireless Controllers for Cloud
    • Catalyst 9800 Embedded Wireless Controller за Catalyst 9300, 9400 и 9500 Series Switches
    • Catalyst 9800 Series Wireless Controllers
    • Embedded Wireless Controller на Catalyst Access Points

    Уязвимостта се активира само ако е включена функцията Out-of-Band AP Image Download, която по подразбиране е изключена.

    Какво да направите:

    • Проверете дали функцията е активна чрез командата:
      show running-config | include ap upgrade
      Ако изходът показва ap upgrade method https, функцията е активна и трябва да бъде деактивирана незабавно.
    • Актуализирайте до последната версия на софтуера чрез стандартните канали за обновление на Cisco.
    • Ако не можете веднага да приложите актуализацията, временно деактивирайте функцията Out-of-Band AP Image Download.
  • Cisco предупреди за критична уязвимост в Meeting Management. Веднага инсталирайте версия 3.9.1!

    Cisco предупреди за нова уязвимост в своя инструмент Meeting Management. Тя позволява на отдалечен нападател да получи администраторски достъп.

    Уязвимостта има оценка за сериозност (CVSS) 9,9 от 10 и е свързана с комбинация от неправилни разрешения по подразбиране и грешки при обработка на привилегии. Атакуващият може да се възползва от тази уязвимост, като изпрати API заявки към определена крайна точка.

    Уязвимостта засяга всички инстанции на Cisco Meeting Management до версия 3.9. По-новите версии (напр. версия 3.10) не са уязвими. За по-старите компанията пусна поправена версия на софтуера – 3.9.1.

    Инсталирайте я незабавно!

  • Истина или лъжа: Важна документация, източена при хака на SolarWinds се продава онлайн

    Уебсайт, на име SolarLeaks, предлага за продажба гигабайти файлове, за които се твърди, че са получени в резултат от наскоро разкритото компрометиране на SolarWinds.

    Експлоатирането на уязвимости в широкоизползвания софтуер за мониторинг на ИТ инфраструктура Orion (на компанията SolarWinds) засегна множество държавни и частни организации по целия свят, сред тях и немалко американски правителствени агенции.

    SolarLeaks твърди, че разполага с изходен код (source code) и друга документация на Microsoft, Cisco, SolarWinds и FireEye. Файловете на четирите компании се предлагат на „пакетна“ цена от 1 млн. USD, но могат да бъдат закупени и поотделно.

    Възможно е да става дума за измама. Факт е обаче, че цитираните компании вече потвърдиха, че системите им са засегнати от пробива, а Microsoft дори оповести, че хакерите на Solar Winds са имали достъп до изходния код на компанията.

    SolarLeaks

     

     

  • Microsoft, Google, Cisco, VMWare подкрепят Facebook в битка срещу шпионски софтуер

    Група високотехнологични компании, предвождана от Microsoft, се е обявила в подкрепа на съдебните действия на Facebook срещу частната израелска разузнавателна фирма NSO Group.

    Притежаваната от Facebook WhatsApp води от година дело за това, че шпионският софтуер на NSO Group е използван за хакване на 1400 устройства на потребители чрез уязвимост в услугата за съобщения на чат платформата.

    NSO Group от своя страна се позовава на суверенния имунитет, което възмути технологичните среди.

    Microsoft, подкрепен от дъщерните си дружества GitHub и LinkedIn, а също и от Google, Cisco, VMWare и Интернет асоциацията, смята, че „кибернаемниците“ не заслужават имунитет по няколко причини:

    1. „Оръжията“ на NSO Group могат да бъдат изключително опасни, ако попаднат в грешните ръце
    2. Става дума за софтуер, разработен от частна компания, а не от държавна агенция за сигурност, която цели да осигури безопасност на собствените си граждани
    3. Инструментите на NSO Group представляват заплаха за правата на човека, при положение, че се използват срещу журналисти
Back to top button