Cisco’nun IOS XE yazılımında tehlikeli bir sıfır günün ayrıntılarını açıklamasından üç gün sonra, bilinen risklerin hızla arttığı ve çoğu yüksek profilli telekomünikasyon şirketleri olan binlerce kurbanın kimliklerinin tespit edilmeye başladığı görülüyor.
CVE-2023-20198, uzaktaki, kimliği doğrulanmamış bir saldırganın, savunmasız bir sistemde yükseltilmiş ayrıcalıklara sahip bir hesap oluşturmasına olanak tanır ve bu hesabı daha sonra kurbanın sistemlerini ele geçirmek için kullanabilir. Etkilenen müşterilerin tümü, ip http sunucusu veya ip http secure-server komutları aracılığıyla web kullanıcı arayüzü özelliğini etkinleştirmiş olacaktır.
Cisco ekipleri tarafından teknik destek bildirimlerine yanıt verirken ortaya çıkarıldı, ancak henüz açıklanmayan bir tehdit aktörü veya aktörleri, sistem veya IOS düzeyinde keyfi komutları yürütmelerine olanak tanıyan bir implant yerleştirmek için onu istismar etmeden önce ortaya çıkmadı.
Tehdit avcılığı ve açığa çıkma yönetimi uzmanı Censys tarafından sağlanan tehdit istihbaratına göre, enfeksiyon sayısı 17 ile 18 Ekim arasındaki 24 saat içinde 7.000’in üzerinde artış göstererek toplam 34.140’tan 41.983’e yükseldi. 67.445 kişinin savunmasız hizmeti kullandığı belirlendi.
Censys, bu konakçıların çoğunluğunun ABD’de bulunduğunu ve yaklaşık 6.509 enfeksiyonun bulunduğunu, ardından Filipinler, Meksika ve Şili’nin geldiğini söyledi. Ayrıca Hindistan, Peru, Tayland, Brezilya ve Singapur’da da 1000’den fazla enfekte konakçı var. Computer Weekly’nin temas kurduğu Censys, taramalarında 18 Ekim itibarıyla Birleşik Krallık’ta 673 enfeksiyon tespit edildiğini söyledi.
Bazıları ise uzlaşmanın boyutunun daha da büyük olabileceğini söylüyor. Kardeş başlığımız TechTarget Security, 17 Eylül Salı sabahı itibarıyla 80.000’den fazla açıkta kalan ve savunmasız ana bilgisayar gördüğünü söyleyen Netlas.io’dan alıntı yaptı.
17 Eylül’de bir blog yazısında yazan VulnCheck’ten Jacob Baines şunları söyledi: “Cisco, internete yönelik binlerce IOS XE sisteminin kurulduğundan bahsetmeyerek liderliği gömdü. VulnCheck internete bakan Cisco IOS XE web arayüzlerini taradı ve binlerce implante edilmiş ana bilgisayar buldu. IOS XE’deki ayrıcalıklı erişim muhtemelen saldırganların ağ trafiğini izlemesine, korumalı ağlara girmesine ve herhangi bir sayıda ortadaki adam saldırısı gerçekleştirmesine olanak tanıdığından bu kötü bir durum.”
Büyük ve küçük tüm kurbanlar
Censys araştırma ekibi ayrıca, en çok etkilenen kuruluşlara ilişkin verileri de paylaşarak, başta Asya-Pasifik ve Latin Amerika olmak üzere dünya genelindeki büyük iletişim hizmetleri sağlayıcılarının sorunun asıl yükünü taşıdığına dair kanıtlar buldu. Bunun, tedarik zincirinin müşterilere olan etkisini büyütebileceği konusunda uyardılar.
“Bu… sistemlerin çoğu hangi özellikleri paylaşıyor? Censys ekibi, ağırlıklı olarak hem hanelere hem de işletmelere internet hizmetleri sunan telekomünikasyon şirketlerini temsil ediyor” dedi.
“Sonuç olarak, bu güvenlik açığının birincil hedefleri büyük şirketler değil, daha küçük kuruluşlar ve daha duyarlı bireylerdir.”
Bu arada, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, CVE-2023-20198’i Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğuna ekleyerek, ABD federal kurumlarının 20 Ekim Cuma gününe kadar bunun etkisini hafifletmek veya etkilenen yazılımın kullanımını tamamen durdurmak için adımlar atmasını zorunlu kıldı.
Kullanıcıların, kötü amaçlı implantı sağlamak üzere zincirlenen, CVE-2021-1435 olarak takip edilen farklı, daha eski bir güvenlik açığını gidermek için 9 Kasım’a kadar süreleri var.