ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), tehdit aktörlerinin hassas verilere erişmek amacıyla eski Cisco Smart Install (SMI) özelliğini kötüye kullandığını açıkladı.
Kurum, saldırganların “Cisco’nun eski Smart Install özelliğini kötüye kullanarak cihazlardaki mevcut protokolleri veya yazılımları kullanarak sistem yapılandırma dosyalarını ele geçirdiğini” söyledi.
Ayrıca Cisco ağ aygıtlarında kullanılan zayıf parola türlerini gözlemlemeye devam ettiğini ve bu nedenle bunları parola kırma saldırılarına maruz bıraktığını söyledi. Parola türleri, bir Cisco aygıtının parolasını bir sistem yapılandırma dosyası içinde güvence altına almak için kullanılan algoritmaları ifade eder.
Bu şekilde cihaza erişim sağlayabilen tehdit aktörleri, sistem yapılandırma dosyalarına kolayca erişebilecek ve bu da kurban ağlarının daha derinlemesine ele geçirilmesini kolaylaştıracaktır.
CISA, “Kuruluşlar, ağ cihazlarındaki tüm parolaların yeterli düzeyde koruma kullanılarak saklanmasını sağlamalıdır” derken, “yapılandırma dosyalarındaki parolaları korumak için tüm Cisco cihazları için tip 8 parola korumasının” önerildiğini de sözlerine ekledi.
Ayrıca işletmeleri, yapılandırma rehberliği için Ulusal Güvenlik Ajansı’nın (NSA) Akıllı Kurulum Protokolü Kötüye Kullanımı tavsiyesini ve Ağ Altyapısı Güvenlik Kılavuzunu incelemeye çağırıyor.
Diğer en iyi uygulamalar arasında, parolaları depolamak için güçlü bir karma algoritması kullanmak, parolaların tekrar kullanılmasından kaçınmak, güçlü ve karmaşık parolalar atamak ve hesap verebilirlik sağlamayan grup hesaplarının kullanımından kaçınmak yer alır.
Gelişme, Cisco’nun, Akıllı Yazılım Yöneticisi On-Prem’i (Cisco SSM On-Prem) etkileyen kritik bir kusur olan CVE-2024-20419 (CVSS puanı: 10.0) için bir kavram kanıtı (PoC) kodunun kamuoyuna açık olduğu konusunda uyarmasının ardından geldi; bu kusur, uzaktan, kimliği doğrulanmamış bir saldırganın herhangi bir kullanıcının parolasını değiştirmesine olanak tanıyabilir.
Ağ ekipmanları devi ayrıca, Küçük İşletme SPA300 Serisi ve SPA500 Serisi IP Telefonlarında bir saldırganın temel işletim sisteminde keyfi komutlar yürütmesine veya hizmet reddi (DoS) durumuna neden olabilecek birden fazla kritik eksiklik (CVE-2024-20450, CVE-2024-20452 ve CVE-2024-20454, CVSS puanları: 9,8) konusunda uyardı.
Cisco, 7 Ağustos 2024’te yayınladığı bültende, “Bu güvenlik açıkları, gelen HTTP paketlerinin hatalara karşı düzgün bir şekilde kontrol edilmemesi nedeniyle ortaya çıkıyor ve bu da arabellek taşmasına neden olabilir” ifadelerini kullandı.
“Bir saldırgan, etkilenen bir cihaza hazırlanmış bir HTTP isteği göndererek bu güvenlik açığından yararlanabilir. Başarılı bir istismar, saldırganın dahili bir arabelleği taşmasına ve kök ayrıcalık düzeyinde keyfi komutlar yürütmesine olanak tanıyabilir.”
Şirket, cihazların kullanım ömrünün sonuna (EoL) ulaşması ve kullanıcıların daha yeni modellere geçiş yapmasının zorunlu hale gelmesi nedeniyle kusurları gidermek için yazılım güncellemeleri yayınlamayı düşünmediğini söyledi.