加拿大电信公司遭中国黑客攻击 16个月前的漏洞被利用

加拿大及美国的官员周一表示,疑似代表中国政府工作的黑客利用一个在16个月前已修补的高危漏洞,入侵了一家加拿大电信提供商。

“网络中心关注当前针对加拿大电信公司的恶意网络活动,”该中心在声明中表示,这是加拿大政府的主要网络安全机构。“负责此活动的行为者几乎可以肯定是中华人民共和国国家赞助的黑客,具体是‘盐暴风’。”联邦调查局(FBI)也发布了几乎相同的声明。

安全漏洞的重大失误

盐暴风是研究人员和政府官员用来追踪多个按中国人民解放军的指令进行攻击的隐秘黑客组织的名称。2023年10月,研究人员披露黑客利用CVE-2023-20198漏洞已对超过10,000个思科设备进行了后门攻击,这一漏洞的严重性评级为10。

任何启用了HTTP或HTTPS服务器功能并暴露于互联网的运行思科iOS XE的交换机、路由器或无线局域网控制器均可能受到影响。在安全公司VulnCheck发布报告后,思科大约在一周内发布了安全补丁。

盐暴风与去年攻击多个美国电信公司的事件相关联,其中包括威瑞森和AT&T。《华尔街日报》援引匿名官员的消息表示,黑客可能利用在数月内隐藏的访问权限监控这些公司为了政府机构而使用的窃听系统。盐暴风成员还可以访问其他类型的互联网流量。

今年2月,思科表示,在同一2024年活动中,攻击者不仅利用了CVE-2023-20198漏洞,还利用了其他几个已修补的漏洞,包括CVE-2018-0171和CVE-2023-20273。思科补充说,盐暴风还利用了在11月修补的更新漏洞CVE-2024-20399。

周一,加拿大网络中心表示,“在2025年2月中旬,三台由一家未公开的加拿大电信公司操作的网络设备被可能是盐暴风的行为者入侵。”黑客利用CVE-2023-20198漏洞从设备中检索运行配置文件,并修改了至少一个文件,以创建一个GRE隧道,从而允许从连接到这些设备的网络收集流量。

“在单独的调查中,网络中心发现与盐暴风相关的恶意指标的重叠,来自我们的合作伙伴和行业报告,这表明此次攻击可能超出电信领域的范围,”周一的报告指出。“针对加拿大设备的攻击可能使威胁行为者收集受害者内部网络的信息,或利用受害者的设备促发进一步的攻击。”网络中心官员还表示,某些黑客活动“可能仅限于网络侦察”。

网络中心和FBI都表示,黑客利用了CVE-2023-20198漏洞,但并未提及自2023年10月以来已有补丁可用。在漏洞的严重性和被积极利用的已知状态下,加拿大电信公司的不作为被视为重大的安全失误,可能对下游造成危害。加拿大官员表示,中国国家黑客“几乎肯定将在未来两年继续针对加拿大组织进行间谍活动,包括电信服务提供商及其客户。”

图片源于:arstechnica