ABD, Cisco Web UI güvenlik açığının bir sonucu olarak arka kapının kurulduğu en fazla güvenliği ihlal edilmiş cihaza (4.659) sahip oldu ve onu Filipinler (3.200’den fazla) takip etti.
ÖNEMLİ BULGULAR
Cisco, kullanıcıları IOS XE Web UI yazılımındaki kritik sıfır gün ayrıcalık yükseltme güvenlik açığı konusunda uyarmak için 16 Ekim’de bir güvenlik danışma belgesi yayınladı.
Güvenlik açığını takip eden şirket Censys’e göre, 18 Ekim itibarıyla enfeksiyon sayısı daha önce bildirilen 34.140’tan 41.983’e çıktı; 34.140’ında ise arka kapı kuruluydu.
CVE-2023-20198 olarak izleniyor ve on binlerce cihazdan yararlanmak için kullanılıyor.
ABD, en fazla ele geçirilen cihaz sayısına sahip ülke oldu ve onu Filipinler takip etti.
Cisco tarafından açıklanan kritik bir siber güvenlik tehdidi, Cisco cihazlarının kitlesel olarak kullanılmasına yol açtı ve etkilenen sistem sayısı dünya çapında 40.000 ana bilgisayarı aştı. Kâr amacı gütmeyen güvenlik grubu Shadowserver’ın saptanmış Şu ana kadar 32.800’den fazla cihazın güvenliği ihlal edildi.
Öte yandan Censys bu güvenlik açığını takip ediyor ve blog yazısında şirket, bu güvenlik açığının aktif olarak kullanılması nedeniyle on binlerce cihazın etkilenebileceğini açıkladı.
Şirket, etkilenen Cisco cihazlarını taradı ve çoğunun, AT&T dahil olmak üzere iş ve ev kullanıcılarına internet hizmetleri sunan telekom şirketlerine ait olduğunu buldu. ABD, arka kapı takılı en fazla sayıda cihaza sahip (4.659) ve onu Filipinler (3.200’den fazla) takip ediyor.
Hackread.com, CVE-2023-20198 olarak takip edilen güvenlik açığının Cisco IOS XE yazılımının Web UI özelliğinde keşfedildiğini bildirmişti. Cisco, müşterileri Cisco RV320 ve RV325 yönlendiricilerini etkileyen güvenlik açığı konusunda uyardı ve bu güvenlik açığının, uzaktaki yetkisiz bir saldırganın ele geçirilen sistemde ayrıcalık düzeyi 15 erişimi olan bir hesap oluşturmasına ve cihazın tam kontrolünü ele geçirmesine izin verdiğini açıkladı.
Güvenlik açığı, cihazlarda varsayılan olarak etkin olduğundan IOS XE Yazılım Web Kullanıcı Arayüzü özelliğini etkiliyor. Cisco, kötüye kullanımı önlemek için kullanıcıların internete bağlı her sistemde HTTP sunucusu özelliğini devre dışı bırakmasını önerir. Bu kusurdan yararlanan saldırganlar telekom şirketlerinin yönlendiricilerini ele geçiriyor. Cisco, en azından Eylül ortasından bu yana tehdit aktörlerinin bunu sıfır gün olarak kullandığını doğruladı.
Güvenlik açığı ilk olarak Mart 2023’te keşfedildi ve Eylül ortasından itibaren bu güvenlik açığından yararlanan saldırılarda artış gözlemlendi. Üstelik son derece bilgili bir aktörün bunu istismar ettiğinden şüpheleniliyor; bu da Cisco’nun hala sorunu düzeltmek için bir yama üzerinde çalıştığı sırada hedefli ve koordineli bir kampanyanın başlatılacağına işaret ediyor.
Cisco, 16 Ekim 2023’te yayınlanan tehdit tavsiyesinde, aktörün cihaza erişim sağladıktan sonra implantı yüklemek için eski, halihazırda yama uygulanmış güvenlik açığından (CVE-2021-1435) yararlandığını belirtti.
“Ayrıca CVE-2021-1435’e karşı tamamen yama uygulanmış cihazların, henüz belirlenemeyen bir mekanizma aracılığıyla implantın başarılı bir şekilde kurulmasını sağladığını da gördük.”
CISCO
Güvenlik açığı en yüksek kritiklik puanı 10 olduğundan ciddi bir güvenlik tehdididir. IOS XE yazılımı, Cisco anahtarlarının, kablosuz denetleyici ürünlerinin ve yönlendiricilerinin önemli bir bileşenidir. Güvenlik açığı, Cisco cihazlarının tamamen ele geçirilmesini sağlayacak kadar kritiktir ve tehdit aktörlerine ağ trafiğini zahmetsizce izleme veya zararlı kötü amaçlı yazılım yüklü kimlik avı sayfalarını sunma yeteneği verir.
Bildirildiğine göre ele geçirilen cihazların 469’u konut ve ticari müşteriler için AT&T’de kayıtlı. Şirket, kurumsal düzeyde Cisco XE yönlendiricileri kullanıyor; dolayısıyla büyük şirketler yerine küçük ölçekli kuruluşlar ve bireyler bu tehdide karşı savunmasız kalacak.
Saldırganlar, ağ operasyonlarını kesintiye uğratmak, hassas verileri çalmak ve ağdaki diğer sistemlere karşı yeni saldırılar başlatmak için güvenliği ihlal edilmiş cihazlara erişimden yararlanabileceğinden, güvenlik açığının oluşturduğu riskler geniş kapsamlıdır.
Cisco’nun bir yamayı yayınlamasının ne kadar süreceği belli değil. Bu arada, kullanıcıların cihazlarını enfeksiyona karşı taraması, HTTP sunucusu özelliğini devre dışı bırakması, ağ bölümlendirmesi uygulaması ve şüpheli etkinlik açısından ağ trafiğini izlemesi gerekiyor.
İLGİLİ MAKALELER
- Cisco’nun yeni aracı şifreli trafikteki kötü amaçlı yazılımları tespit edecek
- Yeni 19 CISA Tavsiyesi En İyi ICS Ürünlerindeki Güvenlik Açıklarını Vurguluyor
- Yeni Akira Fidye Yazılımı, İstismar Edilen CISCO VPN’ler Yoluyla İşletmeleri Hedefliyor
- Eski çalışan, Cisco’nun AWS Altyapısını hackledi; silinen sanal makineler
- Yamasız Cisco Catalyst SD-WAN Yönetim Sistemleri DoS Saldırılarına Maruz Kalıyor