Cisco, IOS XE yazılım platformundaki iki sıfır gün güvenlik açığı aracılığıyla sağlanan kötü amaçlı yazılım implantasyonundan etkilendiği bilinen ana bilgisayarların sayısındaki ani düşüş etrafında toplanan spekülasyonlara daha fazla ışık tuttu.
Geçtiğimiz haftanın sonlarında, tehdit araştırmacıları tarafından gerçekleştirilen taramalar, on binlerce ana bilgisayarın ele geçirildiğini ortaya çıkardı, ancak hafta sonu boyunca bu sayılar dramatik bir şekilde düştü.
Bu durum, güvenlik camiasında, izinsiz girişlerin ardındaki isimsiz tehdit aktörünün bir şekilde izlerini silmek için hareket edip etmediği veya operasyonlarını bir şekilde batırıp bozmadıkları konusunda çok fazla tartışmaya yol açtı.
Cisco’nun Talos araştırma birimi, 23 Ekim Pazartesi günü yayınlanan bir güncellemede, aynı işlevlerin çoğunu koruyan ancak şimdi bir HTTP yetkilendirme başlığı için bir ön kontrol içeren, kötü amaçlı implantın (ilk sürüm kullanılarak konuşlandırılan) ikinci bir sürümünü gözlemlediğini söyledi. .
Talos ekibi şöyle açıkladı: “Saldırganlar tarafından implanta başlık kontrolünün eklenmesi, muhtemelen tehlikeye atılmış sistemlerin tespit edilmesini önlemek için alınan tepkisel bir önlemdir.”
“Bu başlık kontrolü öncelikle Talos tarafından sağlanan curl komutunun önceki bir sürümünü kullanarak riskin tespit edilmesini engellemek için kullanılıyor. Bugüne kadar değerlendirilen bilgilere dayanarak, implanta başlık kontrolünün eklenmesinin muhtemelen halka açık virüslü sistemlerin görünürlüğünde yakın zamanda keskin bir düşüşe yol açtığına inanıyoruz.
“HTTP başlık kontrollerini kullanarak implant varyantlarının tanımlanmasına yardımcı olmak için kılavuz tavsiyemiz altında listelenen curl komutunu güncelledik” diye eklediler.
Cisco, IOS XE kullanıcılarının daha önce yayınlanmış olan ve halen geçerli olan kılavuzunu derhal uygulamasını ve 22 Ekim’de kullanıma sunulan tavsiye belgesinde belirtilen düzeltmeleri uygulamasını tavsiye etmeye devam ediyor.
Bu arada Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) 23 Ekim’de, etkilendiği bilinen Birleşik Krallık merkezli bir dizi kuruluşu desteklediğini ve sorunların gelişen etkisini izlemeye devam ettiğini doğruladı.
NCSC, Cisco’nun tavsiyelerine uyulmasını ve dört öncelikli eyleme özellikle dikkat edilmesini öneriyor:
- Cisco’nun tespit yöntemlerini ve güvenlik ihlali göstergelerini (IoC’ler) kullanarak güvenlik ihlali olup olmadığını kontrol edin;
- Etkileniyorsa (ve Birleşik Krallık merkezliyse), bunu derhal NCSC’ye bildirin;
- İnternete bağlı tüm cihazlarda HTTP sunucusu özelliğini devre dışı bırakın veya güvenilir ağlara erişimi kısıtlayın;
- Cisco IOS XE’nin en son sürümüne yükseltin.
Ağ cihazları popüler hedefler haline geliyor
Yönetilen güvenlik hizmetleri sağlayıcısı (MSSP) Socura’nın baş teknoloji sorumlusu Jamie Brummell, Cisco cihazlarının kötü niyetli aktörler tarafından hedef alınmasının, tehdit ortamındaki daha geniş eğilimleri ve temaları yansıttığını söyledi.
“ Cisco sıfır gün, son kullanıcı cihazlarının yerine ağ cihazlarını hedef alan tehdit aktörleri temasını sürdürüyor. Giderek daha fazla EDR/EPP ajanlarının konuşlandırıldığı bilgisayarlara, akıllı telefonlara ve diğer çalışan cihazlarına alternatifler bulmaya zorlanıyorlar” dedi.
“Ağ cihazları bir kez istismar edildiğinde büyük ölçüde korumasız kalıyor ve sistem günlükleri nadiren izleniyor. Genellikle kamuya açıktırlar ve iç ağa ayrıcalıklı erişime sahiptirler. Daha da kötüsü, özellikle bir yönlendirici söz konusu olduğunda, trafiği engellemek veya yönlendirmek için kullanılabilirler.
“Büyük bir şirketi hedeflemek, örneğin Ciscosaldırganlara on binlerce uç noktaya erişim sağlayabilir. Erişimin güvenilir kaynaklarla sınırlı olmasını sağlamak iyi bir uygulamadır ancak bu durumda yararlanılabilir web arayüzü varsayılan olarak etkindir” diye ekledi.