Araştırmacılar, Cisco’nun akıllı lisanslama yardımcı programında yaklaşık altı ay önce yamalanan iki kritik güvenlik açığını hedefleyen aktif sömürü girişimlerini tespit ettiler.
Tehdit aktörleri, hassas lisans verilerine ve idari işlevlere potansiyel olarak yetkisiz erişim sağlayabilecek bu kusurlardan yararlanır.
Saldırılar, Eylül 2024 başında açıklanan Cisco Akıllı Lisanslama Yardımcı Programında iki kritik güvenlik açıkını hedefliyor.
CVE-2024-20439, maksimum CVSS skoru 9.8 olan, esasen “arka kapı” olarak işlev görür ve kimlik doğrulanmamış, uzak saldırganların hard kodlu kimlik bilgilerini kullanarak yazılıma erişmesine izin verir.
İkinci güvenlik açığı olan CVE-2024-20440, aynı zamanda 9.8 olarak derecelendirilmiş, API kimlik bilgileri de dahil olmak üzere hassas bilgileri ortaya çıkaran “hata ayıklama günlük dosyasında aşırı dayanak” içerir.
Bir Hewlett Packard Enterprise Company olan Aruba’dan Güvenlik Araştırmacısı Nicholas Starke, Cisco yardımcı programının (2.0.0 ila 2.2.0) savunmasız versiyonlarının statik bir yönetim şifresi içerdiğini açıkladı: Library4c $ lu.
Bu kimlik bilgisi, uygulamanın API kimlik doğrulama mekanizmasına gömülüdür ve saldırganlara başarıyla kullanılmadıkları takdirde idari ayrıcalıklar sağlar.
Cisco Akıllı Lisanslama Yardımcı Güvenlik Açığı
SANS araştırmacılarına göre, saldırganlar bu güvenlik açıklarından yararlanmak için özel olarak hazırlanmış HTTP istekleri gönderiyorlar.
Tanımlanan bir saldırı paterni,/CSLU/V1/Scheduler/Jobs adresindeki API uç noktasına, sabit kodlu kimlik bilgilerini kullanarak erişmeye çalışan tehdit aktörlerini gösterir. HTTP istek başlıkları şunları içerir:
Yetkilendirme üstbilgisindeki Base64 kodlu dize, Starke’ın araştırmalarında tanımlanan kimlik bilgileriyle eşleşen CSLU-Windows-Slient: Library4C $ LU’ya kod çözer.
Başarılı olduğunda, bu, saldırganlara lisans hizmetine idari erişim sağlar, bu da potansiyel olarak ilişkili hizmetleri yönetmelerine veya savunmasız sistemlerden hassas bilgileri çıkarmalarına izin verir.
Tehdit oyuncuları çabalarını sadece Cisco ürünleriyle sınırlamıyor. Aynı grup ayrıca, belirli DVR sistemlerini etkileyen CVE-2024-0305 gibi görünen diğer güvenlik açıklarından da yararlanmaya çalışıyor:
Bu, bilinen güvenlik açıklarına sahip internete maruz kalan cihazları hedefleyen daha geniş bir tarama kampanyası önermektedir.
Sans’taki araştırma dekanı Johannes Ullrich, her ikisi de genellikle arka kapı erişimi sağlayan sert kodlanmış kimlik bilgileri içeren “ucuz IoT cihazlarının ve pahalı kurumsal güvenlik yazılımının benzer temel güvenlik açıklarını nasıl paylaştığını görmek her zaman eğlenceli” olduğunu belirtti.
Hafifletme
Cisco akıllı lisanslama yardımcı programını kullanan kuruluşlar derhal bu istismarlara karşı savunmasız olmayan 2.3.0 sürümüne güncellemelidir.
Ağ yöneticileri ayrıca /CSLU /V1 uç noktasını hedefleyen yetkisiz erişim denemeleri, özellikle de tehlikeye atılan kimlik bilgilerini içeren günlükleri incelemelidir.
Cisco, bu güvenlik açıklarının “bir kullanıcı tarafından başlatılmadığı ve aktif olarak çalışmadığı sürece” “Cisco akıllı lisanslama programı başlatılmadığı sürece kullanılabilir olmadığını” belirtti, ancak bu yazılımın yaygın olarak konuşlandırılması göz önüne alındığında çok az rahatlık sağlıyor.
Sömürü girişimleri artmaya devam ettikçe, hızlı yama işlemi bu kritik güvenlik kusurlarına karşı en etkili azaltma olmaya devam etmektedir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free