Cisco Akıllı Lisanslama Yardımcı Programı Saldırı Altında Kusurlar

   Mart 20, 2025  Posted in CyberSecurityDive


Dalış Kılavuzu:

  • SANS Internet Storm Center’dan Johannes Ullrich, bu hafta Eylül ayında açıklanan iki kritik Cisco güvenlik açıkına karşı sömürü girişimleri bildirdi. CVE-2024-20439, Cisco Akıllı Lisanslama Yardımcı Programında statik bir kimlik bilgisi güvenlik açığıdır ve CVE-2024-20440, yardımcı programda bir bilgi açıklama kusurudur.
  • Sömürünün başarılı olup olmadığı belirsizdir, ancak Ullrich, CVE-2024-20439 için statik kimlik bilgisinin daha önce bir güvenlik araştırmacısı tarafından yayınlandığını ve etkilenen cihazlara uzaktan erişmek için kullanılabileceğini belirtti.
  • Ullrich, siber güvenlik dalışına, sömürü girişimlerinin muhtemelen daha küçük bir botnetten kaynaklandığını ve geçen hafta aktivitenin arttığını söyledi.

Dalış içgörü:

İki CVE, çok çeşitli Cisco ürünlerini etkiler, ancak ağ devi, Cisco akıllı lisanslama hizmetinin bir kullanıcı tarafından başlatılmadığı ve aktif olarak çalışmadığı sürece güvenlik açıklarının kullanılamayacağını belirtti.

SANS Internet Storm Center Post’ta Ullrich, statik kimlik bilgisi güvenlik açığı olan CVE-2024-20439’a “arka kapı” olarak atıfta bulundu ve savunmasız Cisco cihazlarına kolay erişim sunduğu konusunda uyardı.

“Bu iki güvenlik açığı biraz bağlantılı. Birincisi, Cisco’nun ürünlerini donatmayı sevdiği birçok backdandan biri. Erişim elde etmek için kullanılabilecek basit bir sabit şifre” diye yazdı. “İkincisi, olması gerekenden daha fazla günlük olan bir günlük dosyasıdır. İlk güvenlik açığını kullanarak bir saldırgan günlük dosyasına erişebilir.”

Ullrich, güvenlik araştırmacısı Nicholas Starke’ın Eylül ayında iki CVE hakkında teknik detaylar içeren bir blog yazısı yayınladığını ve CVE-2024-20439’dan istismar etmek için statik kimlik bilgileri de dahil. Sonuç olarak, Ullrich sömürü girişimlerini görmenin “sürpriz” olmadığını söyledi.

Aktivite, diğer saldırılara ve taramalara da katılan bir botnet için kaynaklanıyor, Ullrich siber güvenlik dalışına verdiği demeçte. İnternet fırtına merkezi sensörleri son günlerde yaklaşık 10 bot tespit etti, ancak sensörlerin aldığından daha fazlası olduğunu söyledi.

Siber güvenlik dalışı, “Cisco güvenlik açıklarına ek olarak, bu botnet de açıkta kalan sırlar için tarar. Örneğin /backup.gz gibi bazen dikkatsiz yöneticiler tarafından geride bırakılan yedekleme dosyaları” dedi. “Bu botnet’in bir parçası olan botlar birkaç haftadır çeşitli güvenlik açıkları için tarıyor.”

Siber güvenlik dalışı, rapor edilen sömürü girişimleri hakkında yorum için Cisco ile temasa geçti.



Source link