https://www.truesec.com/hub/blog/aki...-cve-2020-3259
Blogginlägget publicerades en dryg vecka efter Tietoevry drabbades av Akira.
Anmärkningsvärt är att Truesec bedömer att det rör sig om CVE-2020-3259 som exploaterats, dvs en sårbarhet som varit känd ungefär tre år längre än de sårbarheter som många (inklusive jag själv) identifierat som troliga kandidater tidigare i tråden.
Nu står det uttryckligen ingenting om Tietoevry i TrueSecs inlägg utan man refererar löst till åtta fall "de senaste veckorna" (fram till 29 januari 2024 alltså) TrueSec varit inblandade i varav i sex av dem har man kunnat konstatera att utrustning sårbar för CVE-2020-3259 har använts.
Den stora skillnaden mellan CVE-2020-3259 och CVE-2023-20269 (som också påverkade Ciscos ASA-produkter och VPN, som tidigare framhölls i tråden som en sannolik kandidat för intrångsväg av somliga) är att CVE-2020-3259 möjliggör för en angripare att läsa av delar av minnet i utrustningen där credentials för VPN-användare befinner sig i klartext under vissa förhållanden, medan CVE-2023-20269 möjliggjorde bl.a. brute forcing av användaruppgifter mot påverkad Cisco ASA-utrustning.
TrueSec skriver (och driver) vidare hypotesen att Akira är en off-shoot från Conti och hävdar att Conti är känt att ha kopplingar till FSB, medan man i nästa stycke är noga med att påpeka att man inte hävdar att Akira-angrepp ska attribueras till rysk underrättelsetjänst.
Blogginlägget publicerades en dryg vecka efter Tietoevry drabbades av Akira.
Anmärkningsvärt är att Truesec bedömer att det rör sig om CVE-2020-3259 som exploaterats, dvs en sårbarhet som varit känd ungefär tre år längre än de sårbarheter som många (inklusive jag själv) identifierat som troliga kandidater tidigare i tråden.
Nu står det uttryckligen ingenting om Tietoevry i TrueSecs inlägg utan man refererar löst till åtta fall "de senaste veckorna" (fram till 29 januari 2024 alltså) TrueSec varit inblandade i varav i sex av dem har man kunnat konstatera att utrustning sårbar för CVE-2020-3259 har använts.
Den stora skillnaden mellan CVE-2020-3259 och CVE-2023-20269 (som också påverkade Ciscos ASA-produkter och VPN, som tidigare framhölls i tråden som en sannolik kandidat för intrångsväg av somliga) är att CVE-2020-3259 möjliggör för en angripare att läsa av delar av minnet i utrustningen där credentials för VPN-användare befinner sig i klartext under vissa förhållanden, medan CVE-2023-20269 möjliggjorde bl.a. brute forcing av användaruppgifter mot påverkad Cisco ASA-utrustning.
TrueSec skriver (och driver) vidare hypotesen att Akira är en off-shoot från Conti och hävdar att Conti är känt att ha kopplingar till FSB, medan man i nästa stycke är noga med att påpeka att man inte hävdar att Akira-angrepp ska attribueras till rysk underrättelsetjänst.