Cisco, yerel saldırganların ayrıcalıkları root’a yükseltmesine izin verebilecek genel yararlanma kodu içeren yüksek önem dereceli bir Entegre Yönetim Denetleyicisi (IMC) güvenlik açığı için yamalar yayınladı.
Cisco IMC, XML API, web (WebUI) ve komut satırı (CLI) arayüzleri dahil olmak üzere birden fazla arayüz aracılığıyla UCS C-Serisi Raf ve UCS S-Serisi Depolama sunucularını yönetmeye yönelik bir temel kart yönetim denetleyicisidir.
Şirket, “Cisco Integrated Management Controller’ın (IMC) CLI’sindeki bir güvenlik açığı, kimliği doğrulanmış yerel bir saldırganın temeldeki işletim sistemine komut ekleme saldırıları gerçekleştirmesine ve ayrıcalıkları root’a yükseltmesine olanak tanıyabilir” diye açıklıyor.
“Bu güvenlik açığından yararlanabilmek için saldırganın etkilenen cihazda salt okunur veya daha yüksek ayrıcalıklara sahip olması gerekir.”
CVE-2024-20295 olarak izlenen bu güvenlik açığı, kullanıcı tarafından sağlanan girişin yetersiz doğrulanmasından kaynaklanıyor; bu zayıflık, düşük karmaşıklıktaki saldırıların bir parçası olarak hazırlanmış CLI komutları kullanılarak istismar edilebilir.
Güvenlik açığı, varsayılan yapılandırmalarda güvenlik açığı bulunan IMC sürümlerini çalıştıran aşağıdaki Cisco cihazlarını etkiler:
- 5000 Serisi Kurumsal Ağ Bilgi İşlem Sistemleri (ENCS)
- Catalyst 8300 Serisi Edge uCPE
- Bağımsız modda UCS C-Serisi Raf Sunucuları
- UCS E-Serisi Sunucular
Ancak, güvenlik açığı bulunan Cisco IMC CLI’ye erişim sağlayacak şekilde yapılandırılmışlarsa, diğer ürünlerin uzun bir listesini de saldırılara açık hale getirir.
Cisco’nun Ürün Güvenliği Olaylarına Müdahale Ekibi (PSIRT) de bugünkü danışma belgesinde, kavram kanıtı yararlanma kodunun zaten mevcut olduğu konusunda uyardı, ancak şans eseri, tehdit aktörleri henüz saldırılardaki güvenlik açığını hedeflemeye başlamadı.
Ekim ayında şirket, bir hafta içinde 50.000’den fazla IOS XE cihazını ihlal etmek için kullanılan iki sıfır günlük güvenlik yamalarını yayınladı.
Saldırganlar ayrıca geçen yıl ikinci bir IOS ve IOS XE sıfır gününü de kullanarak uzaktan kod yürütme yoluyla savunmasız cihazları ele geçirmelerine olanak tanıdı.
Yakın zamanda Cisco, müşterilerini Uzaktan Erişim VPN’ine (RAVPN) karşı şifre püskürtme saldırılarını azaltmaya teşvik ettikten sonra Cisco, CheckPoint, Fortinet, SonicWall ve Ubiquiti cihazlarındaki VPN ve SSH hizmetlerini hedef alan büyük ölçekli ve devam eden bir kaba kuvvet kimlik doğrulama kampanyası hakkında uyarıda bulundu. Cisco Güvenli Güvenlik Duvarı cihazlarında yapılandırılmış hizmetler.