Routers em fim de vida são alvo de grupo apoiado pela China

De acordo com a Strike Team da SecurityScorecard, o Volt Typhoon, um cibergrupo apoiado pelo Estado chinês, parece estar a atacar routers e dispositivos de rede da Cisco em fim de vida nos Estados Unidos, no Reino Unido e na Austrália como parte de uma campanha de larga escala.

O relatório da Strike Team afirma que descobriu uma nova infraestrutura alegadamente ligada ao grupo em questão. A investigação focou-se em dispositivos RV320/325 da Cisco, uma linha de routers que foi descontinuada pela empresa em 2019. As vendas do produto terminaram em janeiro de 2020 e o dia 31 de janeiro de 2025 marca o fim do serviço e suporte ao produto.

O grupo envolvido na campanha está a explorar duas vulnerabilidades de 2019 – CVE-2019-1652 e CVE-2019-1653 – que foram adicionadas, no mesmo ano, à lista de vulnerabilidades exploradas conhecidas pela CISA.

Os investigadores indicam que aproximadamente 30% dos dispositivos em questão observados foram comprometidos pelo Volt Typhoon num período de 37 dias. A conexão entre os dispositivos e a infraestrutura do Volt Typhoon sugerem uma presença “muito ativa”. A Strike Team da SecurityScorecard alerta que “a Cisco não lançou e não vai lançar atualizações de software para endereçar as vulnerabilidades, uma vez que os dispositivos estão em fim de vida”.