Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Mevcut Yama Yok; Binlerce Kişi IOS Yazılımı XE Web Kullanıcı Arayüzü Kusurundan Etkilendi
Sayın Mihir (MihirBagwe) •
17 Ekim 2023
Pazartesi günü Cisco, müşterilerinden, modüler işletim sisteminin web arayüzünde kritik bir güvenlik açığı olduğu keşfedilen internete bakan sistemlerdeki HTTP Sunucusu özelliğini acilen devre dışı bırakmalarını istedi.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Cisco Talos, bir tehdit danışma belgesinde, bilgisayar korsanlarının yönetici düzeyinde ayrıcalıklar kazanmak ve ele geçirilen cihazların tam kontrolünü etkili bir şekilde ele geçirmek için IOS XE yazılımının web kullanıcı arayüzü özelliğini kullandığını söyledi.
Cisco’nun Web Kullanıcı Arayüzü özelliği, dağıtımı ve kullanıcı deneyimini basitleştirmek için tasarlanmıştır. Komut satırı arayüzü uzmanlığı olmadan sistem yapılandırmalarının oluşturulmasına ve sistemin izlenmesine ve sorunlarının giderilmesine yardımcı olur.
Cisco, ayrı bir danışma belgesinde, CVE-2023-20198 olarak takip edilen kusurun, internete yönelik veya güvenilmeyen ağlarda yararlanılabilecek bir ayrıcalık yükseltme hatası olduğunu söyledi. HTTP veya HTTPS Sunucusu özelliği etkinleştirilmiş, Cisco IOS XE yazılımını çalıştıran hem fiziksel hem de sanal cihazlar, bilgisayar korsanlığına karşı savunmasızdır. Bu maksimum CVSS dereceli hata için şu an için herhangi bir yama mevcut değil.
Bir yama yayınlanana kadar Cisco’nun yanıtı basit: Müşterilere internete yönelik sistemlerde HTTP Sunucusu özelliğini devre dışı bırakmaları tavsiye ediliyor. Bu tavsiye, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın internete açık yönetim arayüzlerinden kaynaklanan risklerin azaltılmasına ilişkin önceki kılavuzuyla uyumludur.
Nesnelerin interneti tarayıcısı ZoomEye üzerinde yapılan bir arama, şu anda yayında olan 463.000’den fazla Cisco IOS XE Web kullanıcı arayüzünü tespit etti. Siber güvenlik şirketleri Aves Netsec ve Defused Cyber’in kurucusu Simo Kohonen de Paylaşıldı X ile ilgili Shodan arama sonuçları şunları söylüyor: “Şu anda yalnızca küçük bir avuç dolusu Cisco IOS XE WebUI yayında… CVE-2023-20198 büyük bir tanesi.”
Web UI özelliğinin yaygın olarak benimsenmesi ve kullanılması göz önüne alındığında, CISA ve dünya çapındaki diğer siber güvenlik kurumları da güvenlik açığına ilişkin uyarılar yayınladı.
Bu kusur, saldırıya uğrayan müşterilerin dahil olduğu birden fazla destek vakasının çözümü sırasında ortaya çıktı. Şüpheli faaliyet 18 Eylül’de tespit edildi ve ilk vaka 28 Eylül’de bildirildi. Cisco’nun Talos Olay Müdahale ekipleri son zamanlarda daha fazla faaliyet fark etti ve Pazartesi günü kritik bir tavsiye kararının yayınlanmasına yol açtı.
Cisco, faaliyet kümelerinin muhtemelen bağlantılı olduğuna ve muhtemelen tek bir aktörün işi olduğuna inanıyor. Eylül ayındaki ilk kümelenme bir test gibi görünürken, Ekim faaliyeti operasyonların genişlediğini gösteriyor.
Cisco Talos’un analizi ayrıca, yeni güvenlik açığından ilk kez yararlanıldıktan sonra bilgisayar korsanlarının, güvenliği ihlal edilmiş cihazlara bir implant yüklemek için daha eski bir hata olan CVE-2021-1435’e yöneldiğini ortaya çıkardı.
İmplant şu adreste saklanır: /usr/binos/conf/nginx-conf/cisco_service.conf, onaltılık karakterlerden oluşan iki değişken dizeyle. Bu implant kalıcı değildir ve cihazın yeniden başlatılmasıyla çıkarılır. Ancak yeni oluşturulan yerel kullanıcı hesapları, yeniden başlatmalarda varlığını sürdürüyor ve onlara 15. düzey ayrıcalıklar (esasen tam yönetici erişimi) veriyor.
Cisco, bir IOS XE cihazının üzerinde aktif bir implant olup olmadığını belirlemek için basit bir teknik paylaştı. İmplant, sisteme belirli bir HTTP POST gönderildiğinde 18 karakterlik onaltılık bir dizeyle yanıt verir: $ curl -X POST http://192.168.1.1/webui/logoutconfirm.html?logon_hash=11a80b7389ccd0a5dab.
Güvenlik açığı yama yönetimi şirketi VulnCheck bir internet taraması gerçekleştirdi ve binlerce implante edilmiş ana bilgisayar buldu. VulnCheck’in baş teknik sorumlusu Jacob Baines, “Cisco, internete yönelik binlerce IOS XE sisteminin kurulduğundan bahsetmeyerek liderliği gömdü” dedi. “IOS XE’deki ayrıcalıklı erişim muhtemelen saldırganların ağ trafiğini izlemesine, korumalı ağlara girmesine ve herhangi bir sayıda ortadaki adam saldırısı gerçekleştirmesine olanak tanıdığından bu kötü bir durum.”
Cisco, bu güvenlik açığı bulunan yazılımı içeren ürünlerin kullanıcılarına, cihazlarda kötü niyetli etkinliklerin sinyalini verebilecek açıklanamayan veya yeni oluşturulan kullanıcıları izlemelerini tavsiye etti.
Bu, Cisco’nun bu ay IOS XE hedeflemeyle ilgili ikinci sıfır gün tavsiyesidir. Daha önceki güvenlik açığı (aynı zamanda CVE-2023-20109 olarak izlenen bir ayrıcalık yükseltme hatası), saldırganların bir GET VPN grup üyesi yönlendiricisine veya anahtar sunucusuna zaten erişimleri varsa rastgele kod yürütmesine olanak tanıyordu (bkz.: İhlal Özeti: İnternette Hala Çok Fazla ICS Ortaya Çıkıyor).