Cisco Talos araştırmacıları bugün, Cisco IOS XE yazılımını çalıştıran ağ cihazlarını etkileyen önceden bilinmeyen bir güvenlik açığının (CVE-2023-20198), bir tehdit aktörü tarafından cihazların kontrolünü ele geçirmek ve bir implant kurmak için kullanıldığı konusunda uyardı.
CVE-2023-20198 Hakkında
CVE-2023-20198, çeşitli Cisco denetleyicilerine, anahtarlara, uç, şube ve sanal yönlendiricilere yüklenen Cisco IOS XE yazılımının web kullanıcı arayüzü özelliğinde yer alan bir ayrıcalık yükseltme güvenlik açığıdır.
Web kullanıcı arayüzü, sistemi hazırlamak, izlemek ve sorunlarını gidermek, yapılandırmalar oluşturmak, sistem dağıtımını ve yönetilebilirliğini basitleştirmek ve kullanıcı deneyimini geliştirmek için kullanılabilen, yerleşik GUI tabanlı bir araçtır. İnternete veya güvenilmeyen ağlara maruz kalmaması gerekiyor.
Güvenlik açığıyla ilgili ek ayrıntılar açıklanmadı ancak uzak, kimliği doğrulanmamış bir saldırganın, etkilenen bir sistemde ayrıcalık düzeyi 15 erişimi olan, yani tüm komutları çalıştırabilecek mümkün olan en yüksek erişim düzeyine sahip bir hesap oluşturmasına izin verdiği biliniyor. konfigürasyon değişiklikleri yapabilir.
Kusur, Cisco IOS XE yazılımını çalıştıran hem fiziksel hem de sanal cihazları etkiliyor ve yalnızca web kullanıcı arayüzünün etkinleştirilmesi durumunda kullanılabilir.
Saldırılar
Cisco’nun tehdit analistleri tarafından analiz edilen birden fazla saldırıda, (muhtemelen aynı) tehdit aktörü, yerel bir kullanıcı hesabı oluşturmak için CVE-2023-20198’den yararlandı ve implantı yüklemek için web kullanıcı arayüzündeki (CVE-2021-1435) eski bir komut ekleme kusurundan yararlandı. .
Muhtemelen 18 Eylül’de başlayan ilk saldırıda saldırgan, kendisini “cisco_tac_admin” kullanıcı adı altında yerel bir kullanıcı hesabı oluşturmakla sınırladı. 12 Ekim’de başlatılan daha sonraki bir saldırıda, saldırgan “cisco_support” kullanıcı adı altında yerel bir kullanıcı hesabı oluşturdu ve ardından implant görevi gören bir yapılandırma dosyasını (“cisco_service.conf”) dağıtmaya devam etti.
“Yapılandırma dosyası, implantla etkileşimde bulunmak için kullanılan yeni web sunucusu uç noktasını (URI yolu) tanımlar. Bu uç nokta, aktörün sistem düzeyinde veya IOS düzeyinde isteğe bağlı komutlar yürütmesine olanak tanıyan belirli parametreleri (…) alır. İmplantın aktif hale gelmesi için web sunucusunun yeniden başlatılması gerekir; gözlemlenen en az bir vakada sunucu yeniden başlatılmadı ve bu nedenle implant, kurulmasına rağmen hiçbir zaman aktif hale gelmedi,” diye açıkladı Cisco’nun araştırmacıları.
İmplant, yeniden başlatmanın ardından varlığını sürdüremez ancak saldırgan tarafından oluşturulan yerel kullanıcı hesapları bunu yapabilir. Cisco’ya göre implant, keyfi komut yürütmeyi “kolaylaştırıyor”.
Araştırmacılar tarafından paylaşılan ilginç bir bilgi de var: Her ne kadar 2021’de CVE-2021-1435 için bir yama sağlanmış ve pek çok kişi tarafından uygulanması umulsa da, “aynı zamanda CVE-2021-1435’e karşı tamamen yamalı cihazların implantın başarılı bir şekilde kurulduğunu da görmüşler” henüz belirlenemeyen bir mekanizma aracılığıyla.
Ne yapalım?
Cisco, CVE-2023-20198 için bir yama üzerinde çalışıyor ancak bu arada yöneticilere, Cisco IOS XE yazılımını çalıştıran tüm internete bakan sistemlerde HTTP Sunucusu özelliğini (yani web kullanıcı arayüzünü) devre dışı bırakmalarını tavsiye ediyorlar.
Bunun nasıl yapılacağına ilişkin talimatlar, güvenlik ekiplerinin kontrol edebileceği ve kullanabileceği Snort kurallarına ilişkin bilinen risk göstergelerinin yanı sıra bu güvenlik danışma belgesinde sağlanmaktadır.
“HTTP Sunucusu özelliğini devre dışı bıraktıktan sonra, çalışan yapılandırmayı kaydetmek için copy Running-configuration startup-configuration komutunu kullanın. Bu, sistemin yeniden yüklenmesi durumunda HTTP Sunucusu özelliğinin beklenmedik şekilde etkinleştirilmemesini sağlayacaktır” diye vurguladı.