Saldırganlar, binlerce Cisco IOS XE cihazını tehlikeye atmak ve kötü amaçlı implantlar bulaştırmak için yakın zamanda açıklanan kritik bir sıfır gün hatasından yararlandı.
Tehdit istihbaratı şirketi VulnCheck’e göre, maksimum önem derecesine sahip güvenlik açığı (CVE-2023-20198), HTTP veya HTTPS’ye de sahip olan Web Kullanıcı Arayüzü (Web UI) özelliği etkinleştirilmiş Cisco IOS XE yönlendiricilerini ve anahtarlarını hedef alan saldırılarda kapsamlı bir şekilde istismar edildi. Sunucu özelliği açıldı.
VulnCheck, internete bakan Cisco IOS XE web arayüzlerini taradı ve güvenliği ihlal edilmiş ve virüslü binlerce ana bilgisayarı keşfetti. Şirket ayrıca etkilenen cihazlardaki bu implantları tespit edecek bir tarayıcı da yayınladı.
VulnCheck CTO’su Jacob Baines’e göre “IOS XE’deki ayrıcalıklı erişim muhtemelen saldırganların ağ trafiğini izlemesine, korumalı ağlara girmesine ve herhangi bir sayıda ortadaki adam saldırısı gerçekleştirmesine olanak tanıdığından bu kötü bir durum.”
“Kuruluşunuz bir IOS XE sistemi kullanıyorsa, sistemlerinizin güvenliğinin ihlal edilip edilmediğini belirlemeniz ve implantlar keşfedildikten sonra uygun önlemleri almanız zorunludur.
“Henüz bir yama mevcut olmasa da, web arayüzünü devre dışı bırakarak ve tüm yönetim arayüzlerini internetten derhal kaldırarak kuruluşunuzu koruyabilirsiniz.”
Cisco: Etki azaltma önlemlerini uygulayın ve ihlal göstergelerini arayın
Pazartesi günü Cisco, kimliği doğrulanmamış saldırganların, tam yönetici ayrıcalıkları elde etmek ve etkilenen Cisco yönlendiricileri ve anahtarları üzerinde uzaktan tam kontrol sahibi olmak için IOS XE sıfır gün özelliğini kullanabileceğini açıkladı.
Şirket, yöneticileri, bir yama çıkana kadar internete bakan tüm sistemlerde güvenlik açığı bulunan HTTP sunucusu özelliğini devre dışı bırakmaları konusunda uyardı.
Cisco, CVE-2023-20198 saldırılarını, Cisco’nun Teknik Yardım Merkezi (TAC) tarafından alınan bir müşteri cihazında olağandışı davranış raporlarının ardından Eylül ayı sonlarında tespit etti. Bu saldırıların kanıtı, saldırganların “cisco_tac_admin” ve “cisco_support” adlı yerel kullanıcı hesapları oluşturduğunun gözlemlendiği 18 Eylül’e kadar uzanıyor.
Dahası, saldırganlar kötü niyetli implantlar konuşlandırarak, ele geçirilen cihazlarda sistem veya IOS düzeyinde keyfi komutlar yürütmelerine olanak sağladı.
Cisco, “Bu faaliyet kümelerinin büyük olasılıkla aynı aktör tarafından gerçekleştirildiğini değerlendiriyoruz. Her iki küme de birbirine yakın görünüyor ve Ekim faaliyeti Eylül faaliyetini güçlendiriyor gibi görünüyor” dedi.
“İlk küme muhtemelen aktörün ilk girişimi ve kodunu test etmesiydi; Ekim etkinliği ise aktörün, implantın konuşlandırılması yoluyla kalıcı erişim sağlamayı da kapsayacak şekilde operasyonlarını genişlettiğini gösteriyor.”
Şirket ayrıca yöneticilere, şüpheli veya yakın zamanda oluşturulmuş kullanıcı hesaplarını, bu tehdide bağlı kötü amaçlı etkinliklerin potansiyel işaretleri olarak aramaları için “güçlü bir öneri” yayınladı.
Eylül ayında Cisco, müşterilerini, IOS ve IOS XE yazılımlarında, vahşi ortamda saldırganların hedef aldığı başka bir sıfır gün güvenlik açığını (CVE-2023-20109) düzeltmeleri konusunda uyarmıştı.