Tehdit aktörleri sıfır gün güvenlik açıklarından yararlanıyor çünkü bu kusurlar yazılım geliştiriciler tarafından bilinmiyor ve bu da onları saldırı başlatma konusunda oldukça etkili kılıyor.
Sıfır günlerin istismar edilmesi, kötü niyetli aktörlerin güvenlik önlemlerini atlamasına ve sistemler üzerinde yetkisiz erişim veya kontrol elde etmesine olanak tanıyarak başarı şanslarını en üst düzeye çıkarır.
Cisco IOS XE’nin Web UI özelliğinde, internete veya güvenilmeyen ağlara bağlanıldığında açıkta kalan HTTP/HTTPS Sunucusu işlevselliğine sahip cihazları etkileyen yeni bir Sıfır gün güvenlik açığı (CVE-2023-20198) Cisco tarafından keşfedildi.
Web kullanıcı arayüzü (UI), herhangi bir ek kurulum veya lisanslamaya ihtiyaç duymadan sistem yönetimini kolaylaştıran, grafik kullanıcı arayüzü (GUI) tabanlı bir sistem yönetim uygulamasıdır. Ancak, potansiyel güvenlik riskleri nedeniyle web kullanıcı arayüzünün internete veya güvenilmez ağlara maruz bırakılmaması şiddetle tavsiye edilir.
Cisco IOS XE Sıfır Gün Güvenlik Açığı
Cisco, 18 Eylül’den itibaren bir müşteri cihazında şüpheli etkinlik tespit etti ve ilgili davranışı 28 Eylül itibarıyla doğruladı.
Bu, olağandışı bir IP adresinden (5.149.249) bir ‘cisco_tac_admin’ hesabı oluşturulmasını içeriyordu.[.]74). Etkinlik 1 Ekim’de sona erdi ve ilgili başka bir davranış gözlemlenmedi.
API güvenliği yalnızca bir öncelik değildir; işletmelerin ve kuruluşların yaşam çizgisidir. Ancak bu karşılıklı bağlantı, genellikle yüzeyin altına gizlenmiş bir dizi güvenlik açığını da beraberinde getiriyor.
Şimdi üye Ol
Cisco Talos Olay Müdahalesi (Talos IR) ve TAC, 12 Ekim’de ilgili bir etkinlik kümesi belirledi. Yetkisiz bir kullanıcı, 154.53.56 IP adresinden bir ‘cisco_support’ hesabı oluşturdu.[.]231.
Bu etkinlik, sistem veya IOS düzeyinde komut yürütme için yeni bir web sunucusu uç noktası oluşturmak üzere bir implantın (‘cisco_service.conf’) konuşlandırılmasını içeriyordu. İmplant kalıcı değildir ancak yönetici düzeyinde kullanıcı hesapları oluşturur.
CVE-2023-20198’in kritik CVSS puanı 10 olup, tam yönetici erişimi sağlar ve saldırgana olası yetkisiz faaliyetlere karşı yönlendirici üzerinde kontrol sağlar.
Aktör, bilinmeyen bir yöntem kullanarak, tamamen yama uygulanmış cihazlara bile implantı kurmak için CVE-2021-1435’ten yararlandı. Lua dilinde 29 satırla kodlanan implant, keyfi komut yürütmeye izin veriyor.
Kusur Profili
- CVE Kimliği: CVE-2023-20198
- Tavsiye Kimliği: cisco-sa-iosxe-webui-privesc-j22SaA4z
- Açıklama: Cisco IOS XE Yazılımında Web Kullanıcı Arayüzü Ayrıcalığının Yükselmesi Güvenlik Açığı
- İlk Yayınlanma: 16 Ekim 2023 15:00 GMT
- Cisco Hata Kimlikleri: CSCwh87343
- CVSS Puanı: Taban 10.0
- Önem Derecesi: Kritik
Öneri
Potansiyel olarak etkilenen kuruluşlar Cisco’nun PSIRT kılavuzunu takip etmelidir. Olağandışı kullanıcıları kontrol edin ve implantı tespit etmek için aşağıdaki belirtilen komutu çalıştırın (“DEVICEIP” yerine cihazın IP’sini yazın):-
- curl -k -X POST “https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1”
Bu komut, implantın Web kullanıcı arayüzündeki varlığını kontrol eder. Onaltılı bir dizi döndürürse implant mevcuttur.
Bunun yalnızca web sunucusu yeniden başlatıldığında işe yaradığını unutmayın. CVE-2021-1435 ve implantla etkileşimler için snort kapsamı mevcuttur.
IOC’ler
- 5.149.249[.]74
- 154.53.56[.]231
Kullanıcı adları: –
- cisco_tac_admin
- cisco_support
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.