Cisco bugün yöneticileri, IOS XE Yazılımında, saldırganların tam yönetici ayrıcalıklarına sahip olmasına ve etkilenen yönlendiricilerin tam kontrolünü ele geçirmesine olanak tanıyan yeni ve maksimum önem derecesine sahip sıfır gün güvenlik açığı konusunda uyardı.
Şirket, kritik güvenlik açığının (CVE-2023-20198 olarak izlenen ve hala yama bekleyen) yalnızca Web Kullanıcı Arayüzü (Web UI) özelliği etkinleştirilmiş ve aynı zamanda HTTP veya HTTPS Sunucusu özelliği de değiştirilmiş fiziksel ve sanal cihazları etkilediğini söylüyor Açık.
Şirket bugün yaptığı açıklamada, “Cisco, internete veya güvenilmeyen ağlara maruz kaldığında Cisco IOS XE yazılımının (CVE-2023-20198) Web Kullanıcı Arayüzü (Web UI) özelliğinde daha önce bilinmeyen bir güvenlik açığından aktif olarak yararlanıldığını tespit etti” dedi.
“Bu güvenlik açığından başarıyla yararlanılması, bir saldırganın etkilenen cihazda ayrıcalık düzeyi 15 erişime sahip bir hesap oluşturmasına olanak tanır, bu da onlara güvenliği ihlal edilen cihazın tam kontrolünü etkili bir şekilde verir ve daha sonra olası yetkisiz faaliyetlere izin verir.”
Saldırılar, 28 Eylül’de Cisco’nun Teknik Yardım Merkezi (TAC) tarafından bir müşteri cihazında olağandışı davranış raporlarının ardından fark edildi.
Cisco, saldırılarla ilgili daha ayrıntılı bir incelemenin ardından 18 Eylül’e kadar uzanan ilgili faaliyetleri tespit etti. Kötü amaçlı etkinlik, yetkili bir kullanıcının şüpheli bir IP adresinden (5.149.249) “cisco_tac_admin” kullanıcı adıyla yerel bir kullanıcı hesabı oluşturmasını içeriyordu.[.]74).
Şirket, 12 Ekim’de ikinci bir şüpheli IP adresinden (154.53.56) bir “cisco_support” yerel kullanıcı hesabı oluşturulduğunda ilgili ek etkinlik keşfetti.[.]231). Ayrıca sistem veya IOS düzeylerinde rastgele komutları yürütmek için kötü amaçlı bir implant yerleştirdiler.
Cisco, “Bu faaliyet kümelerinin büyük olasılıkla aynı aktör tarafından gerçekleştirildiğini değerlendiriyoruz. Her iki küme de birbirine yakın görünüyor ve Ekim faaliyeti Eylül faaliyetini güçlendiriyor gibi görünüyor” dedi.
“İlk küme muhtemelen aktörün ilk girişimi ve kodunu test etmesiydi; Ekim etkinliği ise aktörün, implantın konuşlandırılması yoluyla kalıcı erişim sağlamayı da kapsayacak şekilde operasyonlarını genişlettiğini gösteriyor.”
Azaltıcı önlemler
Şirket, yöneticilere internete bakan sistemlerde saldırı vektörünü ortadan kaldıracak ve gelen saldırıları engelleyecek HTTP sunucusu özelliğini devre dışı bırakmalarını tavsiye etti.
Şirket, “Cisco, müşterilerin internete bakan tüm sistemlerde HTTP Sunucusu özelliğini devre dışı bırakmasını şiddetle tavsiye ediyor. HTTP Sunucusu özelliğini devre dışı bırakmak için, küresel yapılandırma modunda no ip http sunucusu veya no ip http secure-server komutunu kullanın” dedi.
“HTTP Sunucusu özelliğini devre dışı bıraktıktan sonra çalışan-yapılandırma başlangıç-yapılandırmasını kopyala kaydetme komutunu çalışan yapılandırma. Bu, sistemin yeniden yüklenmesi durumunda HTTP Sunucusu özelliğinin beklenmedik şekilde etkinleştirilmemesini sağlayacaktır.”
Hem HTTP hem de HTTPS sunucuları kullanımdaysa, HTTP Sunucusu özelliğini devre dışı bırakmak için her iki komutun da kullanılması gerekir.
Kuruluşların ayrıca, bu tehditle ilişkili kötü amaçlı etkinliklerin potansiyel göstergeleri olarak açıklanamayan veya yakın zamanda oluşturulmuş kullanıcı hesaplarını aramaları önemle tavsiye edilir.
Güvenliği ihlal edilmiş Cisco IOS XE cihazlarında kötü amaçlı implantın varlığını tespit etmeye yönelik bir yaklaşım, cihazda aşağıdaki komutu çalıştırmayı içerir; burada “DEVICEIP” yer tutucusu, araştırılan IP adresini temsil eder:
curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"
Geçtiğimiz ay Cisco, müşterilerini, vahşi ortamda saldırganların hedef aldığı IOS ve IOS XE yazılımındaki başka bir sıfır gün güvenlik açığını (CVE-2023-20109) düzeltmeleri konusunda uyarmıştı.