Cisco, IOS XE cihazlarında aktif olarak kullanılan iki sıfır gün hatasına yönelik yamanın 22 Ekim’de yayınlanmasının planlandığını söyledi.
CVE-2023-20198 altında takip edilen ilk Cisco sıfır gün hatası 16 Ekim’de duyuruldu ve önem derecesi 10 üzerinden 10’du. Keşfedildiği sırada, tehdit aktörlerinin birden fazla riske girmesine zaten izin vermişti. 10.000 Cisco cihazı.
19 Ekim’de Cisco, IOS XE cihazlarına yönelik siber saldırıların hepsinin aynı tehdit aktörü tarafından gerçekleştirildiğine inandığını söyledi.
Cisco, tehdit tavsiyelerinde 20 Ekim’de yaptığı güncellemede, CVE-2023-20273 altında takip edilen, önceden bilinmeyen başka bir kusurun daha bulunduğunu bildirdi; bu kusur, 7,2 gibi biraz daha az korkutucu bir CVSS puanı taşıyor.
Her ikisi de aynı istismar zincirinde kullanılıyor. Cisco’nun gelecek yama sürümünü duyuran e-postayla gönderilen açıklamasına göre, tehdit aktörleri ilk hatayı ilk erişim için, ikinci hatayı ise kimlik doğrulaması yapıldıktan sonra ayrıcalıkları yükseltmek için kullandı.
Cisco ayrıca ilk hatayla ilgili daha önceki raporundan bir açıklama daha ekledi: İlk yanıtta, tehdit aktörünün yeni sıfır günü 2021’den itibaren bilinen ve yamalı bir güvenlik açığıyla birleştirdiği ve bu durumun yama bypass sorunu ihtimalini artırdığı düşünülüyordu. Ancak şirketten yapılan açıklamaya göre Cisco artık bu teoriyi reddetti.
“Daha önce bahsedilen CVE-2021-1435’in artık bu aktiviteyle ilişkili olduğu değerlendirilmiyor” dedi.
Sömürü Yıllarca Sürebilir
Cisco tehdidin kapsamını sarmaya devam ederken, siber güvenlik uzmanı ve danışmanı Immanuel Chavoya, güncellenmiş sürümün yayınlanmasına kadar savunmasız cihazlara yönelik kötü amaçlı faaliyetlerde bir artış görmeyi bekliyor.
“Tehdit aktörleri herhangi bir yama veya iyileştirme öncesinde fırsattan yararlanmak için acele ederken, aktif istismar devam edecek ve muhtemelen bu hafta sonu fidye yazılımlarına yol açacaktır” diye tahmin ediyor.
Ancak kısa vadenin ötesinde Chavoya, birçok Cisco müşterisinin durumu düzeltmek için gerekli adımları atacağından şüpheli.
“Deneyimlerime dayanarak size pek çok müşterinin yama yapmadığını ya da hiçbir zaman yama yapmayacağını ve halihazırdaki istismar durumundan (KOBİ’ler vb.) kesinlikle habersiz olduklarını söyleyebilirim ve dolayısıyla istismar aylarca veya yıllarca devam edecek.”