Bir sözcü Cybersecurity Dive’a şunları söyledi: Cisco, Cisco IOS XE yazılımındaki kritik sıfır gün güvenlik açığını gidermek için Pazar günü bir güvenlik düzeltmesi yayınlayacak. Şirketin güncellenmiş bir bülteninden alıntı yaparak.
Kimliği belirsiz bir bilgisayar korsanı, Cisco IOS XE’deki web kullanıcı arayüzünden yararlandı ve yaklaşık olarak kötü amaçlı arka kapılar yükledi. Dünya çapında 42.000 cihazGüvenlik araştırmacıları tahmin ediyor.
Şirkette yapılan incelemenin ardından Cisco, bilgisayar korsanının önceden bilinmeyen iki güvenlik sorununu istismar ettiğini tespit etti.
Tehdit aktörü istismar etti CVE-2023-20198CVSS puanı 10 olan bu sistem, sisteme ilk erişimi sağlamak ve ayrıcalık seviyesi 15 kontrolü oluşturmak için aktörün bir kullanıcı adı ve şifre oluşturmasına olanak tanır. Kullanıcı daha sonra normal erişimle oturum açtı.
Saldırgan, dosya sistemine bir implant yazmak için web kullanıcı arayüzü özelliğinin ayrı bir bileşeninden ve yükseltilmiş ayrıcalıklardan yararlandı. Bu ikinci güvenlik açığı olan CVE-2023-20273’ün puanı 7,2’dir.
CVE-2021-1435 olarak listelenen daha eski bir güvenlik açığının bu saldırılarla ilgisi yoktur. Cisco Talos’a göre.
Cisco, HTTP özelliğinin devre dışı bırakılmasının, düzeltme yayınlanana kadar bir saldırının önlenmesine yardımcı olacağını söyledi.
Cisco Talos, şüpheli etkinliği ilk olarak 28 Eylül’de fark ettiğini ancak daha sonra etkinliğin 18 Eylül’de başladığını tespit ettiğini söyledi. Cisco Talos Olay Müdahalesi ve Cisco Teknik Yardım Merkezi daha sonra 12 Ekim’de ek bir etkinlik kümesi tespit etti.
Cisco Talos yetkilileri bir blog yazısında, “Tehdit aktörünün cihaz hakkında bilgi topladığını ve ön keşif yaptığını gözlemledik” dedi.
Cisco Talos araştırmacıları, bilgisayar korsanlarının saldırıyı gizlemek amacıyla günlükleri temizlemek ve kullanıcıları kaldırmak için çeşitli komutlar da girdiğini söyledi.
Faaliyetlerin aynı hacker tarafından gerçekleştirildiğine inanılıyor ancak tehdit aktörünün kimliği açıklanmadı.