Bir tehdit aktörü, işletim sisteminde henüz yama yapılmamış maksimum önem derecesine sahip bir güvenlik açığı aracılığıyla, İnternet’e açık binlerce Cisco IOS XE cihazına keyfi kod yürütmeye yönelik bir implant bulaştırdı.
Cisco, CVE-2023-20198 olarak tanımlanan kusuru 17 Ekim’de açıklayarak, kusuru hedef alan açıktan yararlanma faaliyetlerine ilişkin bir uyarı yayınladı. CVSS güvenlik açığı ciddiyet ölçeğinde önem derecesi 10 üzerinden 10 olan hata, IOS XE’nin Web UI bileşeninde mevcut.
Şirket, bir saldırganın IOS XE cihazlarda yönetici düzeyinde ayrıcalıklar elde etmek için güvenlik açığını kullandığını ve ardından görünür bir yama atlayarak 2021’den (CVE-2021-1435) eski bir uzaktan kod yürütme (RCE) kusurunu kötüye kullandığını gözlemlediğini söyledi. Etkilenen sistemlere Lua dili implantı bırakın.
Artık bu saldırıların küresel bir etkisi var gibi görünüyor.
Yamasız Hata, 10.000 Cisco Sisteminin Etkilenmesine Yol Açıyor
Cisco’nun güvenlik danışmanlığı, şirketin birden fazla müşteriden gelen kusurla bağlantılı olağandışı faaliyet raporlarına yanıt verdiğini belirtti. Ancak enfeksiyonların gerçek kapsamı, tavsiyelerde görünenden çok daha yüksek görünüyor.
VulnCheck CTO’su Jacob Baines, şirketinin üzerinde implant bulunan en az 10.000 Cisco IOS XE sisteminin parmak izini aldığını ve bunun Shodan ve Censys gibi arama motorlarında görünen etkilenen cihazların yalnızca yarısını tarayarak elde edildiğini söylüyor.
Baines, “Anlayabildiğimiz kadarıyla yerelleştirilmiş gibi görünmüyor” diyor. “IP’ler dünya çapında çok sayıda ülkeye coğrafi konum belirlemektedir.”
Baines, saldırıların fırsatçı mı yoksa hedefli mi olduğunu belirlemenin biraz zor olduğunu söylüyor. Bir yandan, fırsatçı saldırılar genellikle kamuya açık veya araştırmacılar tarafından geliştirilen kavram kanıtı (PoC) istismarlarını kullanan tehdit aktörlerini içerir.
Ancak şu ana kadar CVE-2023-20198’i hedef alan aktivitede yaşananın bu olmadığını söylüyor. “Saldırganların iddiaya göre sadece sıfır gün ve belki de ikinci bir yama bypass’ı kullanmakla kalmadılar, aynı zamanda özel bir implant da yerleştirdiler. Bu fırsatçılık değil.”
Baines, aynı zamanda istismar edilen sistemlerin çok sayıda olmasının ayrım gözetmeyen bir yaklaşıma işaret ettiğini söylüyor.
Cisco Muhtemelen Tek Bir Tehdit Aktöründen Pwning Ediyor
Güvenliği ihlal edilen Cisco IOS XE sistemlerinin hepsinin aynı implanta sahip olması, saldırıların arkasında bir tehdit aktörünün olduğunu gösteriyor. Baines şunu ekliyor: “Başlangıçta kimlik doğrulamayı atlama güvenlik açığı önceden yamalı olduğundan ve hala yama yapılmadığından, savunmasız hedefleri bulmak bir Shodan sorgusu kadar basit.” Cisco, güvenlik açığının ayrıntılarını henüz kamuya açıklamadığından, amacının CVE-2023-20198’den yararlanmanın ne kadar kolay olup olmadığını tespit etmek olduğunu belirtti.
Detectify’daki araştırmacılar da 17 Ekim’de Cisco’nun sıfır gün güvenlik açığını hedef alan İnternet çapında istismar etkinliği gibi görünen bir faaliyet gözlemlediklerini bildirdi. Ancak arkasındaki tehdit aktörünün fırsatçı bir şekilde bulabildikleri etkilenen her sisteme saldırdığına inanıyorlar. Firmadan bir araştırmacı, “Saldırganlar, akıllarında belirli bir hedef olmadan sistemlerden yararlanmaya çalışarak geniş bir ağ oluşturuyor gibi görünüyor” diyor. Yaklaşım “önce her şeyi kullanmak ve sonra neyin ilginç olduğunu belirlemek” gibi görünüyor. Detectify’ın araştırmacıları, Baines’in etkilenen sistemlerin Shodan gibi arama motorları aracılığıyla bulunmasının son derece kolay olduğu yönündeki değerlendirmesini paylaştı.
Araştırmacı, Detectify’ın ekibinin müşteriler için implantı tespit etmeye yönelik bir test oluştururken yalnızca nispeten sınırlı sayıda sistemin virüs bulaştığını doğruladığını söylüyor. Ancak araştırmacı, binlerce sistemin bu implanta sahip olmasının mümkün olduğunu da ekliyor.
Erişim Listeleri Etkin Azaltma Yöntemidir
Cisco, sıfır gün tehdidi için henüz bir yama yayınlamadı. Ancak şirket, etkilenen sistemleri olan kuruluşların, İnternet’e bakan IOS XE cihazlarında HTTPS Sunucusu özelliğini derhal devre dışı bırakmasını önerdi. 17 Ekim’de Cisco, erişim listelerini kullanarak HTTPS Sunucusu özelliğine erişimi kontrol etmenin de işe yaradığını belirtmek üzere tavsiye belgesini güncelledi.
Cisco, “Kötüye kullanımın daha iyi anlaşılmasına dayanarak, güvenilmeyen ana bilgisayarlardan ve ağlardan erişimi kısıtlamak için HTTP Sunucusu özelliğine uygulanan erişim listelerinin etkili bir hafifletme yöntemi olduğunu yüksek güvenle değerlendiriyoruz” dedi. Şirket, bu hizmetlere erişim kontrolleri uygularken, üretim hizmetlerinin kesintiye uğrama potansiyeli nedeniyle kuruluşun ne yaptığının farkında olması gerektiği konusunda uyardı.
Cisco, binlerce sistemin yeni sıfır gün hatası yoluyla implante edildiğine ilişkin raporlarla ilgili Dark Reading sorusuna yanıt vermedi. Ancak e-postayla gönderilen bir açıklamada şirket, bir yazılım düzeltmesi sağlamak için “durmaksızın çalıştığını” söyledi. Açıklamada, bu arada müşterilerin güvenlik danışma belgesinde belirtilen adımları derhal uygulaması gerektiği de yinelendi.
“Cisco’nun şu anda paylaşacak başka bir şeyi yok ancak güvenlik danışma belgesi aracılığıyla araştırmamızın durumu hakkında bir güncelleme sağlayacaktır. Ek ayrıntılar için lütfen güvenlik danışma belgesine ve Talos bloguna bakın.”