50.000’den Fazla Cisco IOS XE Cihazı Sıfır Gün Kusurundan Yararlanarak Saldırıya Uğradı


50.000'den Fazla Cisco IOS XE Cihazı Hacklendi

Cisco IOS XE cihazları, gelişmiş özellikleri ve güvenilirlikleri nedeniyle ağ oluşturma ve telekomünikasyonda yaygın olarak kullanıldı.

Çeşitli yönlendirme ve anahtarlama işlevlerini destekleyen ölçeklenebilir ve modüler bir işletim sistemi sağladılar.

IOS XE’nin yazılım tasarımı, yeni teknolojilerin ve hizmetlerin sorunsuz entegrasyonunu sağlayarak onu iş ve hizmet sağlayıcı ağları için popüler bir seçim haline getirdi.

Cisco, Cisco IOS XE yazılımının Web kullanıcı arayüzünde, güvenilmeyen ağlarda hem fiziksel hem de sanal açıkta kalan HTTP/HTTPS Sunucu özelliklerine sahip 50.000’den fazla cihazı etkileyen yeni bir güvenlik açığından (CVE-2023-20198) aktif olarak yararlanıldığını keşfetti.



Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir


Cisco IOS XE’yi Hedefleyen Saldırı

Cisco araştırmacıları, şüpheli faaliyetlerin 18 Eylül’de başladığını ve olağandışı davranışlar nedeniyle 28 Eylül’de bir vakanın açıldığını kaydetti.

Bu etkinlik, şüpheli bir IP adresinden (5.149.249) “cisco_tac_admin” kullanıcı hesabının oluşturulmasını içeriyordu.[.]74) ve 1 Ekim’de sona erdi, o sırada ilgili başka hiçbir eylem gözlenmedi.

Cisco Talos IR ve TAC, 12 Ekim’de yeni bir yetkisiz etkinlik kümesi tespit etti. Davetsiz misafir, şüpheli bir IP’den (154.53.56) bir “cisco_support” kullanıcısı oluşturdu.[.]231).

Eylül ayından farklı olarak bu, sistem düzeyinde komutlar için implant dağıtımını (“cisco_service.conf”) içeriyordu. Ancak bir vakada implant aktive edilemedi.

Maksimum CVSS puanı 10 olan CVE-2023-20198 güvenlik açığı, tam yönetici erişimi sağlıyor. Saldırgan daha sonra kök düzeyinde kontrol elde etmek ve bir implant yerleştirmek için CVE-2023-20273’ten yararlandı. Bu ikincil güvenlik açığının CVSS puanı 7,2’dir.

Kusur Profili

  • CVE kimliği: CVE-2023-20198
  • CVSS Puanı: 10.0
  • Şiddet: Kritik
  • Takip eden: CSCwh87343
  • Geçici çözümler: Geçici çözüm yok
  • CVE kimliği: CVE-2023-20273
  • CVSS Puanı: 7.2
  • Şiddet: Yüksek
  • Takip eden: CSCwh87343
  • Geçici çözümler: Geçici çözüm yok

Saldırganlar, CVE-2023-20198’i kullandıktan sonra, kök ayrıcalıklarıyla komut enjeksiyonu ve bir implant yazmak için CVE-2023-20273’ten yararlanıyor.

Aktör daha sonra cihazda keşif yapar ve günlükleri temizleyerek ve kullanıcıları kaldırarak izlerini gizlemeye çalışır.

Araştırmacılar bu faaliyetleri güçlü bir şekilde tek bir aktöre bağlamaktadır. Ekim ayında ‘cisco_tac_admin’in kaldırılması, Eylül ayından itibaren devamlılık anlamına gelir.

İlk küme bir test olabilir; Ekim ayı ise kalıcı erişim için implantın genişletilmesine işaret ediyor.

Öneri

Risk altındaki kuruluşların Cisco’nun PSIRT tavsiyelerini derhal takip etmeleri istenmektedir. Cihazlardaki şüpheli kullanıcıları izleyin ve implantı tespit etmek için cihazın IP adresi olarak ‘DEVICEIP’ kullanarak sağlanan komutu kullanın.

Komut, cihazın Web kullanıcı arayüzüne bir istekte bulunarak implantın varlığını kontrol eder.

Daha önce açıklandığı gibi onaltılık bir dizi, implantın varlığını gösterir. Ancak aktörün kurulumdan sonra web sunucusunu yeniden başlatması yalnızca bir uzlaşma işaretidir.

IOC’ler

  • 5.149.249[.]74
  • 154.53.56[.]231
  • 154.53.63[.]93

Kullanıcı adları:

  • cisco_tac_admin
  • cisco_support
  • cisco_sys_manager

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link