Aanvallers maken misbruik van een beveiligingslek in de Cisco Clientless SSL VPN om bedrijven en organisaties te hacken, zo waarschuwt beveiligingsbedrijf Volexity. De Cisco SSL VPN Service, ook aangeduid als Cisco Web VPN, is een web-gebaseerd Virtual Private Network (VPN) waarmee werknemers via hun browser toegang tot het bedrijfsnetwerk en servers kunnen krijgen.

Om op het VPN in te loggen moeten gebruikers een gebruikersnaam en wachtwoord opgeven. Een kwetsbaarheid in het Cisco Web VPN, dat op 8 oktober 2014 werd gepatcht, maakt het mogelijk om kwaadaardige code aan de inlogpagina toe te voegen. Aanvallers kunnen dit op afstand doen en hebben hiervoor geen wachtwoord of andere inloggegevens nodig. Via de kwaadaardige code die op de inlogpagina wordt geplaatst is het mogelijk om de inloggegevens van gebruikers op te slaan, waarmee de aanvallers vervolgens zelf kunnen inloggen.

Cisco waarschuwde in februari van dit jaar voor aanvallen waarbij de kwetsbaarheid werd gebruikt, maar die vinden nog steeds plaats, aldus Volexity. Medische bedrijven, universiteiten, academische instellingen, productiebedrijven en denktanken wereldwijd zouden inmiddels via deze methode zijn aangevallen.

Volgens het beveiligingsbedrijf is het niet duidelijk of bij alle aanvallen de kwetsbaarheid werd ingezet. Er wordt niet uitgesloten dat bij sommige andere aanvallen die zijn waargenomen de aanvallers zelf al toegang tot de inlogpagina hadden en zo de kwaadaardige code konden toevoegen. Het maakt daarbij niet uit of bedrijven twee factor-authencatie gebruiken, aangezien de tweede code die bij het inloggen moet worden opgegeven ook via de aangepaste inlogpagina kan worden onderschept.