Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), yakın zamanda yayınladığı bir danışma yazısında Cisco cihazlarındaki güvenlik açıklarının istismarı konusunda artan endişelere dikkat çekti. Cisco smart Install güvenlik açığı, eğer ele alınmazsa, kuruluşları önemli güvenlik tehditlerine maruz bırakabilir.
Başlıca endişeler arasında eski özelliklerin kötüye kullanılması ve kritik sistem yapılandırma dosyalarına yetkisiz erişime yol açabilecek zayıf parola türlerinin kullanılması yer alıyor.
Eski Özelliklerin İstismarı: Cisco Smart Install Güvenlik Açığı
CISA, kötü niyetli siber aktörlerin sistem yapılandırma dosyalarına yetkisiz erişim elde etmek için eski protokolleri ve yazılımları kullandığını gözlemledi. Dikkat çekici bir örnek, eski Cisco Smart Install özelliğinin istismarıdır. Ağ cihazlarının dağıtımında kolaylık sağlamak için tasarlanmış olmasına rağmen, bu özellik güvenlik açıkları nedeniyle siber suçlular için bir hedef haline geldi.
CISA, kuruluşların bu riski azaltmak için Cisco Smart Install özelliğini devre dışı bırakmasını şiddetle tavsiye eder. Ayrıca, BT ekiplerinin ayrıntılı yapılandırma rehberliği için Ulusal Güvenlik Ajansı’nın (NSA) Smart Install Protokolü Kötüye Kullanımı tavsiyesini ve Ağ Altyapısı Güvenlik Kılavuzunu incelemelerini tavsiye eder. Bu kaynaklar, ağ altyapısının güvenliğini artırmak ve olası istismara karşı korumak için temel adımlar sağlar.
Zayıf Parola Türleri: Siber Saldırılar İçin Bir Ağ Geçidi
CISA tarafından belirlenen bir diğer kritik sorun da Cisco ağ cihazlarında zayıf parola türlerinin kullanılmaya devam edilmesidir. Sistem yapılandırma dosyalarındaki cihaz parolalarını güvence altına almak için kullanılan algoritmalar tarafından tanımlanan bu parola türleri, genellikle kırma saldırılarına karşı hassastır. Bir tehdit aktörü bu dosyalara erişim sağladığında, tüm ağı tehlikeye atabilir.
CISA, sistem yapılandırma dosyalarına ve parolalara erişimin tam bir ağ ihlaline yol açabileceği konusunda uyarıyor. Bu nedenle, kuruluşların ağ cihazlarındaki tüm parolaların güçlü bir algoritma ile korunduğundan emin olmaları zorunludur.
Bu endişeyi gidermek için CISA, tüm Cisco cihazları için Tip 8 parola korumasının uygulanmasını öneriyor. Tip 8, önceki parola türlerinden daha güvenlidir ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından onaylanmıştır. Kuruluşlar Tip 8’i benimseyerek parolayla ilgili güvenlik açıkları riskini önemli ölçüde azaltabilir.
Cisco Parola Türlerini Anlamak: Ne Kullanılmalı ve Nelerden Kaçınılmalı
Cisco cihazları, her biri farklı güvenlik seviyelerine sahip çeşitli parola karma ve şifreleme şemaları sunar. Aşağıda farklı parola türlerinin bir dökümü ve CISA ve NSA’nın önerileri yer almaktadır:
- Tip 0: KULLANMAYIN
Tip 0 parolalar yapılandırma dosyasında düz metin olarak saklanır ve bu da onları istismara karşı son derece savunmasız hale getirir. CISA ve NSA, Tip 0’ın kullanılmamasını şiddetle tavsiye eder. - Tip 4: KULLANMAYIN
Kaba kuvvet girişimlerine karşı savunmasızlığı azaltmak için tanıtılmış olsa da, Type 4’ün uygulama sorunları nedeniyle öncüllerinden daha zayıf olduğu bulunmuştur. 2013’ten sonra geliştirilen Cisco işletim sistemlerinde kullanım dışı bırakılmıştır ve kullanımı kesinlikle önerilmemektedir. - Tip 5: Dikkatli Kullanın
Tip 5, NIST tarafından onaylanmamış ve modern araçlarla kırılması nispeten kolay olan MD5 karma algoritmasını kullanır. Kuruluşlar, Tip 5’i yalnızca donanım Tip 6, 8 veya 9 gibi daha güvenli algoritmaları destekleyemiyorsa kullanmalıdır. - Tip 6: Sadece Gerektiğinde Kullanın
Tip 6, geri dönüşümlü bir AES şifreleme algoritması kullanır ve yalnızca geri dönüşümlü şifreleme gerektiğinde veya Tip 8 mevcut olmadığında kullanılmalıdır. Özellikle VPN anahtarlarını güvence altına almak için önerilir. - Tip 7: KULLANMAYIN
Tip 7, çevrimiçi araçlar kullanılarak kolayca tersine çevrilebilen basit bir ikame şifresi kullanır. NSA, Tip 7’nin kullanılmamasını şiddetle tavsiye eder. - Tip 8: ÖNERİLEN
Tip 8, SHA-256 ile PBKDF2 algoritmasını kullanır ve Cisco aygıtlarında parolaları güvence altına almak için tercih edilen seçenektir. Önceki tiplerden daha güvenlidir ve bilinen bir güvenlik açığı yoktur. - Tip 9: Dikkatli Kullanın
Tip 9, kaba kuvvet saldırılarına karşı oldukça dayanıklı olacak şekilde tasarlanmış olsa da NIST tarafından onaylanmamıştır ve bu nedenle NSA tarafından Ulusal Güvenlik Sistemlerinde kullanılması önerilmemektedir.
Şifre Güvenliği için En İyi Uygulamalar
CISA, Tip 8 parola korumasını önermenin yanı sıra, kuruluşları yönetici hesaplarını ve parolalarını güvence altına almak için kapsamlı bir yaklaşım benimsemeye teşvik ediyor. Aşağıdaki en iyi uygulamalar, sağlam güvenliği sürdürmek için olmazsa olmazdır:
- Parolaları güçlü bir karma algoritmasıyla saklayın: Parolaların güvenli bir algoritma kullanılarak karıştırıldığından emin olun; böylece saldırganların parolayı tersine mühendislik yoluyla ele geçirmesi zorlaşır.
- Şifrenin tekrar kullanılmasını önleyin: Aynı parolayı birden fazla sistemde kullanmayın. Bu uygulama, tehlikeye atılmış kimlik bilgilerinin diğer sistemlere erişmek için kullanılamaması nedeniyle parola ihlalinin etkisini sınırlar.
- Güçlü ve karmaşık parolalar kullanın: Kolay tahmin edilebilirliği veya kaba kuvvet saldırılarını önlemek için parolalar uzun, benzersiz ve karmaşık olmalıdır.
- Grup hesaplarından kaçının: Bireysel hesap verebilirlik sağlamayan grup hesaplarından kaçınılmalıdır; çünkü bunlar kötü niyetli kullanıcıların eylemlerini gizleyebilir ve adli soruşturmaları engelleyebilir.
NSA, kritik cihazları yöneten yöneticiler için çok faktörlü kimlik doğrulamayı (MFA) şiddetle tavsiye etse de, yalnızca parolaların kullanılması gereken senaryolar vardır. Bu gibi durumlarda, güçlü parola depolama algoritmaları seçmek, siber suçlular için istismarı çok daha zor hale getirebilir.
Özetlemek gerekirse
Bu güvenlik açıkları ışığında, kuruluşların Cisco cihazlarını güvence altına almak için proaktif önlemler alması hayati önem taşımaktadır. Smart Install gibi eski özellikleri devre dışı bırakarak ve güçlü parola koruma uygulamaları benimseyerek, kuruluşlar siber saldırı riskini önemli ölçüde azaltabilir.
Kuruluşlar bu yönergeleri izleyerek ağlarını yetkisiz erişime karşı koruyabilir ve sistemlerinin bütünlüğünü sağlayabilirler.