Cisco, bazı endüstriyel yönlendiricilerinde, ağ geçitlerinde ve kurumsal kablosuz erişim noktalarında bulunan ve saldırganların yalnızca yeniden başlatarak silinemeyecek kötü amaçlı kodlar eklemesine olanak verebilecek yüksek önem düzeyine sahip bir güvenlik açığı (CVE-2023-20076) için yamalar yayınladı. cihaz veya aygıt yazılımının güncellenmesi.
“Bu durumda, komut enjeksiyonu, güvenlik açıklarının bir sistemde kalıcı olmamasını sağlamak için Cisco’nun uyguladığı azaltmaları atlar. Trellix güvenlik açığı araştırmacısı Sam Quinn ve Kasimir Schulz’a göre, bu güvenlik önlemini aşmak, bir saldırgan bu güvenlik açığından yararlanırsa, kötü amaçlı paketin cihaz fabrika ayarlarına sıfırlanana veya manuel olarak silinene kadar çalışmaya devam edeceği anlamına gelir.
Saldırganların savunmasız bir cihazdan yararlanmak için öncelikle kimlik doğrulamalı yönetici erişimi elde etmesi gerekse de, başarılı kimlik avı saldırıları, varsayılan oturum açma kimlik bilgileri ve ayrıcalık yükseltme hataları istenildiği kadar nadir değildir ve CVE-2023-20076 istismarının yolunu açabilir.
CVE-2023-20076 hakkında
CVE-2023-20076, araştırmacılar tarafından bir Cisco ISR 4431 yönlendiricisinde, daha spesifik olarak, yöneticilerin uygulama kapsayıcılarını veya sanal makineleri doğrudan Cisco cihazlarına dağıtmasına olanak tanıyan Cisco IOx uygulama barındırma ortamında keşfedildi.
“Bu güvenlik açığı, bir uygulamanın etkinleştirilmesi için iletilen parametrelerin eksik temizlenmesinden kaynaklanmaktadır. Saldırgan, Cisco IOx uygulama barındırma ortamında hazırlanmış bir etkinleştirme yük dosyasıyla bir uygulamayı dağıtıp etkinleştirerek bu güvenlik açığından yararlanabilir. Başarılı bir istismar, saldırganın şu şekilde rasgele komutlar yürütmesine izin verebilir: kök temeldeki ana bilgisayar işletim sisteminde,” diye açıklıyor Cisco.
Güvenlik açığının diğer Cisco çözümlerini de etkilediği doğrulandı:
- 800 Serisi Endüstriyel ISR’ler (endüstriyel yönlendiriciler)
- IC3000 Endüstriyel Bilgi İşlem Ağ Geçitleri (endüstriyel ortamlar için gerçek zamanlı veri işleme, analitik ve otomasyon için)
- IOx ile yapılandırılmış IOS XE tabanlı cihazlar (yani, kapsayıcılı bir ortamda üçüncü taraf uygulamaları çalıştırabilen yönlendiriciler)
- Cisco Catalyst Erişim noktaları (çok sayıda bağlı cihazın bulunduğu kurumsal ortamlar için kablosuz erişim noktası)
- IR510 WPAN Endüstriyel Yönlendiriciler (kablosuz yönlendiriciler, akıllı fabrikalar ve akıllı şebekeler)
- CGR1000 Bilgi İşlem Modülleri (kurumsal bulut hizmetleri için)
Kullanılabilir geçici çözüm yok. Listelenen son iki cihaz dışında tümü için yamalar / güvenlik güncellemeleri sağlandı ve Cisco geri kalanını bu ay içinde teslim edecek.
“Cisco IOx uygulama barındırma ortamını kullanmak istemeyen müşteriler, IOx’u cihazda kalıcı olarak devre dışı bırakabilir. ıox yok Yapılandırma komutu,” şirket, güvenlik açığının yalnızca Cisco IOx özelliği etkinleştirildiğinde mevcut olduğunu doğruladıktan sonra kaydetti.
Araştırmacılar, CVE-2023-20076’nın saldırganların kötü amaçlı komutları tetiklemesine izin verebileceği gerçeğinin bir sorun olduğunu, ancak tartışmasız daha büyük bir sorunun, güvenlik açıklarının bir sistemde kalıcı olmamasını sağlamak için Cisco tarafından uygulanan azaltmaları atlaması olduğunu belirtti.
“Kurumsal ağ oluşturmanın karmaşıklığı nedeniyle, birçok işletme yapılandırma ve ağ tasarımını üçüncü taraf kurulumculara yaptırıyor. Kötü bir aktör, bu tedarik zinciri boyunca herhangi bir yerde etkilenen Cisco cihazlarından birine kötü niyetli bir şekilde müdahale etmek için CVE-2023-20076’yı kullanabilir. CVE-2023-20076’nın sağladığı erişim düzeyi, arka kapıların kurulmasına ve gizlenmesine izin verebilir, bu da kurcalamayı son kullanıcı için tamamen şeffaf hale getirebilir” diye açıkladılar ve uç cihaz tüketicilerine “tedarik zincirlerini yakından izlemelerini ve emin olmalarını tavsiye ettiler. herhangi bir üçüncü taraf satıcının, iş ortağının veya yönetilen hizmet sağlayıcının şeffaf güvenlik protokollerine sahip olduğunu.”