Araştırmacılar, Cisco IOS XE’de yakın zamanda açıklanan bir güvenlik açığının halihazırda binlerce güvenliği ihlal edilmiş cihazı oluşturduğunu buldu.
Cisco IOS X’i etkileyen bir kimlik doğrulama bypass’ı 16 Ekim 2023’te açıklandı. Araştırmacılar o zamandan bu yana, etkilenen anahtarlara ve yönlendiricilere implant kurulumuna yardımcı olmak için bu güvenlik açığından yaygın şekilde yararlanıldığını buldu.
Cisco IOS XE, model odaklı programlanabilirlik, uygulama barındırma ve konfigürasyon yönetimine olanak tanıyan ve günlük görevlerin otomatikleştirilmesine yardımcı olan, evrensel olarak dağıtılan bir İnternet Çalışma İşletim Sistemidir (IOS).
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Eldeki güvenlik açığı şu şekilde listelenmiştir:
CVE-2023-20198 (CVSS puanı 10 üzerinden 10: Cisco, internete veya güvenilmeyen ağlara maruz kaldığında Cisco IOS XE Yazılımının web kullanıcı arayüzü özelliğinde önceden bilinmeyen bir güvenlik açığından aktif olarak yararlanıldığının farkındadır. Bu güvenlik açığı, uzaktan, Kimliği doğrulanmamış bir saldırganın, etkilenen bir sistemde ayrıcalık düzeyi 15 erişime sahip bir hesap oluşturmasını sağlar. Saldırgan daha sonra bu hesabı, etkilenen sistemin kontrolünü ele geçirmek için kullanabilir.
Cisco’nun bahsetmediği şey, internete yönelik binlerce IOS XE sisteminin yerleştirilmiş olmasıydı. Araştırmacılar internete bakan Cisco IOS XE web arayüzlerini taradılar ve binlerce implante edilmiş ana bilgisayar buldular.
Cisco ayrıca etkilenen cihazların bir listesini henüz yayınlamadı, ancak Cisco anahtarları, yönlendiricileri veya Kablosuz LAN Denetleyicileri kullanıyorsanız bunların savunmasız olduğunu varsaymalısınız.
Bulunan implantlar, saldırganın ele geçirilen cihazla iletişim kurmasına ve bu yeteneği web trafiğini izlemesine, ağda yanal hareket gerçekleştirmesine veya bunları ortadaki makine saldırısı için kullanmasına olanak tanıyor.
Cisco Talos ekibi, 18 Eylül 2023 gibi erken bir tarihte bu güvenlik açığıyla ilişkili kötü amaçlı etkinliklerin olduğunu keşfetti.
Azaltma
Bu güvenlik açığı, web kullanıcı arayüzü özelliği etkinse Cisco IOS XE Yazılımını etkiler. Web kullanıcı arayüzü özelliği, ip http sunucusu veya ip http güvenli sunucu komutlar.
Bir sistem için HTTP Sunucusu özelliğinin etkin olup olmadığını belirlemek için sistemde oturum açın ve çalışan yapılandırmayı göster | ip http sunucusunu dahil et|güvenli|aktif CLI’de varlığını kontrol etmek için komut ip http sunucusu komut veya ip http güvenli sunucu genel konfigürasyonda komut. Komutlardan herhangi biri mevcutsa, sistem için HTTP Sunucusu özelliği etkinleştirilir.
Cisco, müşterilerin internete bakan tüm sistemlerde HTTP Sunucusu özelliğini devre dışı bırakmasını şiddetle tavsiye eder. HTTP Sunucusu özelliğini devre dışı bırakmak için ip http sunucusu yok veya ip http güvenli sunucusu yok genel konfigürasyon modunda komut. Hem HTTP sunucusu hem de HTTPS sunucusu kullanılıyorsa, HTTP Sunucusu özelliğini devre dışı bırakmak için her iki komutun da kullanılması gerekir.
Henüz bir yama mevcut olmasa da, web arayüzünü devre dışı bırakarak ve tüm yönetim arayüzlerini internetten derhal kaldırarak kuruluşunuzu korumanız önerilir. Bu her zaman iyi bir tavsiyedir.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismarın kanıtlarına dayanarak bu güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna ekledi. Bu, tüm Federal Sivil Yürütme Organı Ajanslarının (FCEB), Cisco IOS XE Web Kullanıcı Arayüzü örneklerinin BOD 23-02 (İnternete Açık Yönetim Arayüzlerinden Kaynaklanan Riskin Azaltılması) ile uyumlu olduğunu doğrulaması ve Cisco’nun talimatlarına göre azaltımları uygulaması gerektiği anlamına gelir. Etkilenen ürünler için (internete veya güvenilmeyen ağlara maruz kalan Cisco IOS XE Web Kullanıcı Arayüzü), kuruluşların bir sistemin güvenliğinin ihlal edilip edilmediğini belirlemek için Cisco’nun talimatlarını izlemesi ve olumlu bulguları 20 Ekim 2023’ten önce derhal CISA’ya bildirmesi gerekir.
Kuruluşlar, bu tehditle ilgili potansiyel olarak kötü niyetli etkinliklerin kanıtı olarak cihazlarda açıklanamayan veya yeni oluşturulan kullanıcıları aramalıdır. İmplantın mevcut olup olmadığını belirlemenin bir yöntemi, cihaza karşı aşağıdaki komutu çalıştırmaktır; burada “{DEVICEIP}” kısmı, kontrol edilecek cihazın IP adresi için bir yer tutucudur:
curl -k -X POST “https://{DEVICEIP}/webui/logoutconfirm.html?logon_hash=1”
Not: Cihaz yalnızca güvenli olmayan bir web arayüzü için yapılandırılmışsa yukarıdaki kontrolde HTTP şeması kullanılmalıdır. İstek onaltılık bir dize döndürürse implant mevcuttur.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.