Cisco, çok çeşitli kurumsal ve endüstriyel ağ donanım ürünlerini etkileyen ve kontrol edilmeden bırakılan, saldırganların temel sisteme kalıcı kök erişimi elde etmesine izin verebilecek biri canlı ve diğeri henüz yayınlanmamış kodda olan iki güvenlik açığını düzeltmek için harekete geçti.
Trellix güvenlik açığı araştırmacıları Sam Quinn ve Kasimir Schulz tarafından ortaya çıkarılan iki güvenlik açığı, Cisco ISR 4431 yönlendiricisinde bulundu. Ancak, tüm 800 Serisi Endüstriyel ISR endüstriyel yönlendiricileri, kurumsal bulut hizmetleri için CGR1000 Bilgi İşlem Modüllerini, IC3000 Endüstriyel Bilgi İşlem Ağ Geçitlerini, IOx ile yapılandırılmış IOS XE tabanlı cihazları, IR510 WPAN Endüstriyel Yönlendiricileri ve Cisco Catalyst erişim noktalarını da etkiler.
İlk ve daha acil olarak tehlikeli sorun CVE-2023-20076 olarak belirlenmiştir. Yöneticilerin cihaza uygulama kapsayıcıları veya sanal makineler dağıtmasına izin veren, uygulama barındırma bileşenindeki bir uzaktan komut ekleme güvenlik açığıdır. Arayüz ayarlarında DHCP İstemci Kimliği seçeneğinin uygun olmayan şekilde temizlenmesinden kaynaklanır ve saldırgana kendi seçtikleri bir işletim sistemi komutunu enjekte etme yeteneği verir.
Saldırı yolu ayrıca, Cisco’nun yeniden başlatmalar ve ürün yazılımı yükseltmeleri boyunca bir sistemde devam eden güvenlik açıklarını durdurmak için uyguladığı azaltmaları atlar, böylece başarılı bir şekilde istismar edilirse, kötü amaçlı bir paket cihaz fabrika ayarlarına sıfırlanana veya bulunup manuel olarak silinene kadar çalışmaya devam edebilir.
İkinci soruna bir CVE ataması atanmadı, ancak şimdilik Cisco hata kimliği CSCwc67015 kullanılarak izleniyor. Bu, bir saldırganın etkilenen cihazlarda kod yürütmesini sağlayabilen rastgele bir dosya yazma güvenlik açığıdır. Uygulama barındırma ortamında, kullanıcıların uygulamaları sanal kapsayıcılara yüklemesine ve çalıştırmasına olanak tanıyan bir özellik aracılığıyla ortaya çıkar – bu ortamda tersine mühendislik yaparken, araştırmacılar, kötü amaçlarla paketlenmiş bir uygulamanın, yüklenen uygulamayı aynı anda açarken hayati bir güvenlik kontrolünü atlayabileceğini keşfettiler.
Atlanan güvenlik kontrolü, sistemi CVE-2007-4559’a karşı korumak için tasarlandı – Python’un tarfile modülünde daha önce Trellix ekipleri tarafından pek çok çalışmanın konusu olmuş ve burada düzeltilmemiş çok eski bir güvenlik açığı. Ekip daha fazla araştırma yaptı ve uygulamadan koda ulaşılabilse de, gerekli bir modül eksik olduğu için cihazdan yararlanılamadığını tespit etti. Quinn ve Schulz, diğer cihazların etkilenmiş olabileceği ve sonuçta Cisco tarafından gelecekte dağıtılacak olan kod setinde istismar edilebilir bulunduğu için bunu aynı şekilde bildirdi. Açıklama sayesinde, bu kod sonunda bir düzeltme ile yayına girecek.
Kullanıcılar, her iki sorunun da bir saldırganın kimlik doğrulaması yapmasını ve yönetici ayrıcalıkları edinmesini gerektirdiğini unutmamalıdır; bu nedenle, güvenlik açıklarının olası ciddiyeti biraz daha sınırlı olsa da, kararlı saldırganların, örneğin varsayılan oturum açma kimlik bilgileri, oldukça basit bir kimlik avı saldırısı veya sosyal mühendislik yoluyla hiçbir zaman değiştirilmedi. Gerçekten de Quinn ve Schulz, bu tür hataların genellikle ulus-devlet destekli gelişmiş kalıcı tehdit (APT) grupları tarafından kullanıldığını söyledi.
Quinn ve Schulz, yazılarında modern yönlendiricilerdeki bu tür güvenlik açıklarının nasıl daha büyük bir potansiyel etkiye sahip hale geldiğini anlattı. “Geçmişin aksine, modern yönlendiriciler artık yalnızca yönlendirme yazılımı değil, hatta bazı durumlarda birden fazla kapsayıcı çalıştıran birçok ethernet bağlantı noktasına sahip yüksek güçlü sunucular gibi çalışıyor” dediler. “Bu sistemlerin karmaşıklığı, tehdit aktörleri için zaten olgunlaşmış saldırı yüzeyini genişletiyor. Eğer bir saldırgan bu cihazlardan birine erişip tam kontrolü ele geçirebilirse, bir ağda yer edinebilir ve kontrolleri altında güçlü bir ‘sunucuya’ sahip olabilir.”
Tehlikeli tedarik zinciri saldırıları
Araştırmacılar ayrıca uç ağ cihazlarının tedarik zinciri saldırılarına karşı ne kadar savunmasız olduğunun altını çizdi. “Kurumsal ağ oluşturmanın karmaşıklığı nedeniyle, birçok işletme yapılandırma ve ağ tasarımını üçüncü taraf yükleyicilere yaptırıyor” diye açıkladılar.
“Kötü bir oyuncu, bu tedarik zinciri boyunca herhangi bir yerde etkilenen Cisco cihazlarından birine kötü niyetli bir şekilde müdahale etmek için CVE-2023-20076’yı kullanabilir. CVE-2023-20076’nın sağladığı erişim düzeyi, arka kapıların kurulmasına ve gizlenmesine izin vererek kurcalamayı kullanıcı için tamamen şeffaf hale getirebilir.
“Bu uç cihazların tüketicileri, tedarik zincirlerini yakından izlemeli ve üçüncü taraf satıcıların, iş ortaklarının veya yönetilen hizmet sağlayıcıların şeffaf güvenlik protokollerine sahip olduğundan emin olmalıdır.”
Bunun olduğuna dair bir işaret olmasa da, bu tür sorunlar zaman içinde büyüyebilir, çünkü daha fazla cihaz güvenlik açığı yerindeyken piyasaya sürülür ve daha fazla kullanıcı onları ağlarıyla tanıştırır, bu da binlerce kişinin yer aldığı Log4Shell benzeri bir duruma yol açar. , hatta milyonlarca kuruluş risk altında olduğunun farkında değil.
Yama yapılmadan bırakıldığında, bu tür güvenlik açıkları, uç ağ donanımı taşındığında, kurumsal ağın farklı bölümlerine tanıtıldığında veya yenilenip kanal aracılığıyla yeni sahiplerine yeniden satıldığında ve tehdit aktörlerine yeni kurbanlara erişim sağladıkça yeni ortamlara da taşınabilir.
“Etkilenen cihazlara sahip kuruluşlar derhal en son üretici yazılımına güncelleme yapmalıdır. Quinn ve Schulz, ortamınızda kurulu veya çalışan herhangi bir anormal kapsayıcı olup olmadığını kontrol etmek de önemlidir ve kapları kullanmıyorsanız, IOx’u (kapsayıcı çerçevesi) devre dışı bırakın” diye yazdı.
“Cisco, bu araştırma ve ifşa sürecinde model bir ortaktı. Küresel saldırı yüzeyimizi en aza indirmek ve siber tehditlere karşı dirençli kalmak için satıcılar ve araştırmacılar arasında işbirliği çok önemlidir. Bu güvenlik açıklarını ele almadaki şeffaflıkları ve hızları için onlara teşekkür etmek istiyoruz” dediler.