Cisco, yaygın olarak kullanılan NX-OS ağ işletim sisteminde, saldırganların etkilenen cihazlarda kök ayrıcalıklarıyla keyfi komutlar yürütmesine olanak tanıyabilecek kritik bir güvenlik açığını açıkladı.
Şirket, müşterilerini en kısa sürede yamalı sürümlere yükseltmeye çağırıyor.
CVE-2024-20399 olarak izlenen güvenlik açığı, belirli yapılandırma komutlarına geçirilen argümanların yetersiz doğrulanması nedeniyle NX-OS’nin komut satırı arayüzünde (CLI) bulunmaktadır.
Yönetici kimlik bilgilerine sahip kimliği doğrulanmış bir yerel saldırgan, hazırlanmış girdiyi bir argüman olarak girerek bu açığı kötüye kullanabilir.
Başarılı bir istismar, saldırganın temel işletim sisteminde kök kullanıcı olarak komutlar çalıştırmasına ve böylece cihazın tamamının tehlikeye atılmasına olanak tanır.
Cisco, söz konusu güvenlik açığının Nisan 2024 itibarıyla aktif olarak istismar edildiğini belirtiyor.
Güvenlik açığı bulunan NX-OS sürümlerini çalıştıran Cisco veri merkezi ve ağ ürünlerinin geniş bir yelpazesi etkilenir, bunlara şunlar dahildir:
- MDS 9000 Serisi Çok Katmanlı Anahtarlar
- Nexus 3000, 5500, 5600, 6000, 7000 ve 9000 Serisi Anahtarlar
Ancak bazı istisnalar dışında Nexus 9000 Serisi anahtarlar 9.3 ve sonraki sürümlerden etkilenmez.
Nexus 3000 ve 9000 anahtarları ve 8.1+ sürümündeki Nexus 7000 gibi bash-shell özelliğine sahip aygıtlar, ekstra ayrıcalıklar sağlamaz ancak yöneticinin kabuk komutlarının yürütülmesini gizlemesine izin verir.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Saldırılar ve Azaltma
Nisan 2024’te Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), bu güvenlik açığının etkin bir şekilde istismar edildiğini tespit etti.
Siber güvenlik firması Sygnia, bu saldırıları, açığı kullanarak tehlikeye atılmış cihazlara özel kötü amaçlı yazılımlar yerleştiren Çin devlet destekli bir tehdit aktörü olan Velvet Ant’a bağladı.
Kötü amaçlı yazılım, sistem syslog mesajlarını tetiklemeden uzaktan bağlantı, dosya yükleme ve kötü amaçlı kod yürütmeyi mümkün kılarak saldırıyı etkili bir şekilde gizler.
Cisco, maruziyeti belirlemek ve uygun yazılım güncellemelerini bulmak için Cisco Yazılım Kontrol Aracı’nı sunmaktadır.
Bu araç, Cisco Yazılım Denetleyicisi sayfasından erişilebilen etkilenen yazılım sürümlerini ve en eski düzeltilmiş sürümleri belirler.
Etkilenen Cisco ürünlerini kullanan kuruluşlar, gerekli yamaları uygulamaya öncelik vermeli ve ağlarını herhangi bir tehlike belirtisine karşı sürekli olarak izlemelidir.
Cisco, söz konusu güvenlik açığını gideren yamalı NX-OS sürümlerini yayınladı ve müşterilerine en kısa sürede sürüm yükseltmelerini öneriyor.
Herhangi bir geçici çözüm bulunmuyor; şirket, açığı bildiren siber güvenlik firması Sygnia’ya teşekkür ediyor.
Ağ yöneticileri ayrıntılı uyarıyı incelemeli, Cisco Yazılım Denetleyicisi aracını kullanarak risklerini belirlemeli ve bu güvenlik açığı için geçici bir çözüm olmadığından yükseltmelerini planlamalıdır.
Yönetici kimlik bilgilerinin düzenli olarak değiştirilmesi de en iyi uygulama olarak önerilir. Cisco TAC ve destek ortakları, müşterilere ihtiyaç duyduklarında yardımcı olmak için hazırdır.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files