Akira Fidye Yazılımı Cisco Anyconnect Güvenlik Açıklarından Yararlanıyor

   Şubat 19, 2024  Posted in GBHackers


Tehdit aktörleri, ağlara yetkisiz erişim sağlamak, hassas bilgileri tehlikeye atmak ve potansiyel olarak kötü amaçlı faaliyetler yürütmek için Cisco AnyConnect güvenlik açıklarından yararlanır.

Bu güvenlik açıklarından yararlanmak, saldırganların güvenlik önlemlerini atlamasına olanak tanıyarak ağ kaynakları üzerinde yetkisiz kontrole, operasyonlarda potansiyel kesintilere, siber casusluğa, veri hırsızlığına ve fidye yazılımı dağıtımına yol açar.

Truesec’teki siber güvenlik analistleri yakın zamanda Akira fidye yazılımının Cisco Anyconnect güvenlik açığından aktif olarak yararlandığını keşfetti.

Truesec CSIRT, 1Akira Ransomware’in, uzak saldırganların etkilenen cihazlardan kullanıcı adlarını ve şifreleri almasına olanak tanıyan “CVE-2020-3259” olarak adlandırılan Cisco ASA ve FTD kusurunu aktif olarak kullandığını tespit etti.

Akira Fidye Yazılımı İstismar CVE-2020-3259

Truesec’in yakın zamanda gerçekleşen sekiz Akira fidye yazılımı olayına ilişkin analizi, giriş noktası olarak Cisco AnyConnect SSL VPN’i birbirine bağlıyor.

Güvenliği ihlal edilen altı cihazda güvenlik açığı bulunan yazılımlar çalıştırılırken diğer ikisindeki veriler CVE-2020-3259 duyarlılığı açısından sonuçsuz kaldı.

Bu güvenlik açığından yararlanmak için cihazın saldırgana maruz kalan arayüzde (genellikle internete bakan güvenlik duvarı arayüzünde) AnyConnect SSL VPN’nin etkinleştirilmiş olması gerekir.

Belge

Canlı Hesap Devralma Saldırısı Simülasyonu

Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.

Bunun yanı sıra aşağıdaki konfigürasyonun da mevcut olması gerekir: –

CVE-2020-3259 güvenlik açığını etkinleştiren Cisco cihazları ve yapılandırmaları (Kaynak – Truesec)
CVE-2020-3259’a karşı savunmasız yazılım sürümleri ve Cisco ASA cihazları için sabit sürümler (Kaynak – Truesec)
CVE-2020-3259’a karşı savunmasız yazılım sürümleri ve Cisco FTD cihazları için sabit sürümler (Kaynak – Truesec)

Positive Technologies, Mayıs 2020’de CVE-2020-3259’u keşfetti ancak Rus İstihbaratıyla bağlantılı olduğu iddiası nedeniyle Nisan 2021’de ABD yaptırımlarıyla karşı karşıya kaldı.

Akira, artık kullanılmayan Conti fidye yazılımı sendikasıyla bağlantılıydı ve bu güvenlik açığından yararlanabilir.

Ancak Truesec, Akira’nın eylemlerini doğrudan Rus istihbaratına bağlamıyor çünkü ortak saldırı güvenliği araştırmalarından Batı savunmasına yönelik potansiyel riskler konusunda uyarıda bulunuyor.

Öneriler

Cisco Anyconnect çalıştıran kuruluşlar için, CVE-2020-3259’un ifşa edilmesinden sonra cihazınızın ne zaman güncellendiğini takip etmek çok önemlidir.

Yama uygulanmış olsa bile, istismar göstergeleri daha önce potansiyel bir istismara işaret ediyor. Yükseltme 6 aylıksa, bu süre zarfında kullanılan kullanıcı adlarının/şifrelerin ele geçirildiğini varsayalım.

Bu nedenle, bu durumda, şifreleri sıfırlamanız ve diğer cihaz sırlarını hemen değiştirmeniz önemle tavsiye edilir.

Aşağıda, güvenlik uzmanları tarafından sağlanan diğer tüm önerilerden bahsettik: –

  • Mümkün olan her yerde MFA’yı etkinleştirin ve İstemci VPN bağlantılarına öncelik verin.
  • Özellikle dokunulmamış hesaplar için sürüm yükseltme sonrasında şifre değişikliklerini zorunlu kılın.
  • Sürüm yükseltmesinden sonra cihaz yapılandırmalarındaki gizli dizileri ve önceden paylaşılan anahtarları güncelleyin.
  • Henüz tamamlanmadıysa güvenli bir sürüme yama yapın.
  • Günlük kaydının tüm sistemlerde etkin olduğunu doğrulayın.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.





Source link