Cisco, geçtiğimiz hafta bilgisayar korsanlarının on binlerce IOS XE cihazını tehlikeye atmak için kullandığı iki güvenlik açığını (CVE-2023-20198 ve CVE-2023-20273) ele aldı.
Ücretsiz yazılım sürümü, bir tehdit aktörünün güvenlik sorunlarından yararlanarak sıfır gün olarak yararlanarak 50.000’den fazla Cisco IOS XE ana bilgisayarının tam kontrolünü ele geçirmesinin ardından geldi.
Kritik ve orta şiddette kusurlar
Orijinal danışma belgesine yapılan bir güncellemede Cisco, ilk sabit yazılım sürümünün şirketin Yazılım İndirme Merkezi’nde mevcut olduğunu söylüyor.
Şu anda mevcut ilk sabit sürüm 17.9.4a’dır ve güncellemeler henüz açıklanmayan bir tarihte kullanıma sunulacaktır.
| Cisco IOS XE Yazılım Sürümü Treni | İlk Sabit Sürüm | Mevcut |
|---|---|---|
| 17.9 | 17.9.4a | Evet |
| 17.6 | 17.6.6a | henüz bilinmiyor |
| 17.3 | 17.3.8a | henüz bilinmiyor |
| 16.12 (Yalnızca Catalyst 3650 ve 3850) | 16.12.10a | henüz bilinmiyor |
Cisco’nun CSCwh87343 olarak izlediği her iki güvenlik açığı da IOS XE yazılımını çalıştıran Cisco cihazlarının web kullanıcı arayüzündedir. CVE-2023-20198 maksimum ciddiyet derecesine (10/10) sahipken, CVE-2023-20273’e 7,2 gibi yüksek bir ciddiyet puanı atanmıştır.
Ağ donanımı satıcısı, tehdit aktörünün cihaza ilk erişim sağlamak için kritik kusurdan yararlandığını ve ardından normal bir yerel hesap oluşturmak için “ayrıcalık 15 komutu verdiğini” söylüyor.
Cisco cihazlarda, komut verme izinleri sıfırdan 15’e kadar olan düzeylerde kilitlenir; sıfır beş temel komutu sağlar (“oturumu kapat”, “etkinleştir”, “devre dışı bırak”, “yardım” ve “çıkış”) ve 15’i komuttur. Cihaz üzerinde tam kontrol sağlayan en ayrıcalıklı seviye.
Saldırgan, CVE-2023-20273’ten yararlanarak yeni yerel kullanıcının ayrıcalıklarını rootlayacak şekilde yükseltti ve dosya sistemine kötü amaçlı bir komut dosyası ekledi. İmplant kalıcılık sağlamaz ve yeniden başlatma onu sistemden kaldıracaktır.
Şirket, cihazın web kullanıcı arayüzü (HTTP Sunucusu) özelliğinin açılması durumunda iki güvenlik açığından yararlanılabileceği konusunda uyarıyor. ip http sunucusu veya ip http güvenli sunucu komutlar.
Yöneticiler özelliğin etkin olup olmadığını aşağıdaki komutu çalıştırarak kontrol edebilir: Snasıl çalışıyor-config | ip http sunucusunu dahil et|güvenli|aktif için genel yapılandırmayı kontrol etme komutu ip http sunucusu ya da ip http güvenli sunucu Komutlar.
“Sistem yapılandırmasında komutlardan birinin veya her ikisinin birden bulunması, web kullanıcı arayüzü özelliğinin etkin olduğunu gösterir” – Cisco
Saldırıya Uğrayan Cisco IOS XE ana bilgisayarlarında ani düşüş
Cisco, 16 Ekim’de CVE-2023-20198’in sıfır gün istismarına maruz kaldığını açıkladığında, güvenlik araştırmacıları güvenliği ihlal edilmiş cihazları aramaya başladı.
İlk bulgular Salı gününe kadar yaklaşık 10.000 Cisco IOS XE güvenlik açığı bulunan cihaza virüs bulaştığını tahmin ediyordu. Aramaya daha fazla araştırmacının katılmasıyla sayı birkaç gün içinde hızla 40.000’in üzerine çıktı.
20 Ekim’de Cisco, IOS XE yazılımını çalıştıran sistemlerin tam kontrolünü ele geçirmek için aynı kampanyada ikinci sıfır günün istismar edildiğini açıkladı.
Ancak hafta sonu boyunca araştırmacılar, iki sıfır gün güvenlik açığı kullanılarak saldırıya uğrayan Cisco IOS XE ana bilgisayarlarının sayısında yaklaşık 60.000’den sadece birkaç yüze kadar ciddi bir düşüş gördü.
Gizemli ani düşüşe neyin sebep olduğu belli değil ancak teorilerden biri, saldırganın varlığını gizlemek için bir güncelleme dağıttığı ve kötü niyetli implantların artık taramalarda görünmediği yönünde.
Shadowserver Vakfı’nın CEO’su Piotr Kijewski, BleepingComputer’a, 21 Ekim’den bu yana implant sayısında keskin bir düşüş gözlemlediklerini ve sadece 107 cihaza düştüklerini söyledi.
Sayının aniden azalmasının nedeni, gri şapkalı bilgisayar korsanlarının kötü niyetli implantı ortadan kaldırmak için virüslü cihazları otomatik olarak yeniden başlatması olabilir.
Ancak Cisco araştırmasını tamamlayıp kamuya açık bir rapor sunana veya diğer güvenlik araştırmacıları ihlal edilen bir Cisco IOS XE sistemini analiz eden bir sonuca ulaşana kadar bundan emin olamayız.