Cisco, IOS XE yazılımının web kullanıcı arayüzü (UI) özelliğini etkileyen iki güvenlik açığını gidermek için ücretsiz yazılım güncellemeleri yayınladı ve bunlara artık Cisco Yazılım İndirme Merkezi aracılığıyla erişilebiliyor.
Güncellemeler, ilk olarak Ekim ayının başlarında açıklanan ve daha önce bildirildiği gibi, kimliği açıklanmayan, uzaktaki, kimliği doğrulanmamış bir saldırganın savunmasız bir sistemde hesap oluşturmasına olanak tanıyan CVE-2023-20198’in kötüye kullanılmasına karşı koruma sağlıyor.
Ancak önceki raporumuza ek olarak, söz konusu tehdit aktörünün, web kullanıcı arayüzü özelliğinin başka bir bileşeninden yararlanan ve yeni oluşturulan yerel güvenlik açığını etkinleştiren, şu anda CVE-2023-20273 olarak izlenen ikinci bir güvenlik açığından da yararlandığı artık biliniyor. Kullanıcının ayrıcalıkları kök düzeyine yükseltmesi ve böylece kurbanların sistemine kötü amaçlı bir implant yazması.
Tehdit aktörünün bunu yapmak için 2021 yılına ait daha eski bir kusurdan yararlandığı düşünülüyordu ancak Cisco artık durumun böyle olmadığını söylüyor.
Cisco, hala IOS XE çalıştıran müşterilere güncellemeleri uygulamalarını, aynı zamanda internete bakan tüm sistemlerde HTTP Sunucusu özelliğini devre dışı bırakmalarını veya güvenilir kaynak adreslerine erişimi kısıtlamalarını tavsiye ediyor. Bir Cisco sözcüsü, “Cisco şeffaflığa kendini adamıştır” dedi. “Kritik güvenlik sorunları ortaya çıktığında, bunları birinci öncelik olarak ele alıyoruz, böylece müşterilerimiz sorunları anlıyor ve bunları nasıl çözeceklerini biliyor.
“16 Ekim’de, müşterilerimizi daha önce bilinmeyen bir güvenlik açığından aktif olarak yararlanıldığı konusunda bilgilendiren ve onları güvende tutmak için derhal harekete geçmeye çağıran bir güvenlik tavsiyesi yayınladık. Devam eden soruşturma sonucunda, saldırganın güvenlik önlemlerini atlatmak için iki güvenlik açığını birleştirdiğini ortaya çıkardık; ilki ilk erişim için, ikincisi ise kimlik doğrulaması yapıldıktan sonra ayrıcalığı yükseltmek için.
“Artık hem güvenlik açıklarını kapsayan hem de ilk sürümlerin 22 Ekim’den itibaren müşterilere sunulacağını tahmin eden bir düzeltme belirledik” dediler. “Ancak müşterilerin hemen gerçekleştirebileceği eylemler var. Müşterilerimizi, güncellenmiş güvenlik danışma belgemizde ve Talos blogumuzda daha ayrıntılı olarak belirtildiği gibi bu acil eylemleri gerçekleştirmeye şiddetle teşvik ediyoruz.”
Gizem, güvenliği ihlal edilmiş cihaz hacimlerindeki ani düşüşü çevreliyor
İki sıfır günün istismarını izleyen araştırmacılar, ilk başta savunmasız sistemlere yönelik bilinen risklerin önemli bir oranda arttığını gözlemlemişti.
Bununla birlikte, ilk olarak Bleeping Computer tarafından bildirildiği üzere, 21 ve 22 Ekim 2023 hafta sonu boyunca, kötü amaçlı implantın yüklendiği güvenliği ihlal edilmiş cihazların sayısı, duruma bağlı olarak hızla on binlerceden birkaç yüze kadar düştü. kimin verilerini okuduğunuz.
Onyphe’deki araştırmacılar internette hâlâ “hemen hemen” aynı sayıda savunmasız cihaz gördüklerini ancak bunların çoğunda artık implanta dair hiçbir kanıt bulunmadığını söyledi.
En olası açıklamanın, saldırganların izlerini kapatmak için adımlar atmış olması veya istismar zincirinin henüz tespit edilmemiş başka bir aşamasına geçmiş olması olduğunu öne sürdüler.
Tehdit aktörlerinin bir dış şansı da var operasyonlarını berbat ettiveya etik bir bilgisayar korsanının kendi temizleme operasyonunu yürüttüğü iddiası, ancak bu teorilerin daha az olası olduğu düşünülüyor.