Cisco, Cisco IOx uygulama barındırma ortamındaki yüksek önem düzeyine sahip bir güvenlik açığını gidermek için bu hafta güvenlik güncellemeleri yayınladı.
Güvenlik açığı (CVE-2023-20076), uygulama etkinleştirme işlemi sırasında iletilen parametrelerin tam olarak temizlenmemesinden kaynaklanmaktadır. Trellix Gelişmiş Araştırma Merkezi ile güvenlik araştırmacıları Sam Quinn ve Kasimir Schulz tarafından bulundu ve bildirildi.
Kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda başarılı bir şekilde yararlanma, uzaktan kimliği doğrulanmış tehdit aktörlerinin temeldeki işletim sisteminde root izinleriyle komutları yürütmesine olanak tanır.
Cisco, Çarşamba günü yayınlanan bir güvenlik danışma belgesinde, “Bir saldırgan, Cisco IOx uygulama barındırma ortamında hazırlanmış bir etkinleştirme yük dosyasıyla bir uygulamayı dağıtarak ve etkinleştirerek bu güvenlik açığından yararlanabilir.”
Şirket, güvenlik açığının IOS XE yazılımı çalıştıran Cisco cihazlarını etkilediğini, ancak yalnızca yerel docker’ı desteklemiyorlarsa etkilediğini söylüyor.
Etkilenen cihazların listesi, IOx ile yapılandırılmış IOS XE tabanlı cihazların yanı sıra 800 Serisi Endüstriyel ISR yönlendiricileri, CGR1000 bilgi işlem modülleri, IC3000 endüstriyel bilgi işlem ağ geçitleri, IR510 WPAN endüstriyel yönlendiriciler ve Cisco Catalyst erişim noktalarını (COS-AP’ler) içerir.
Şirket ayrıca CVE-2023-20076 kusurunun Catalyst 9000 Serisi anahtarları, IOS XR ve NX-OS yazılımını veya Meraki ürünlerini etkilemediğini doğruladı.
Ne bulduk pt. 1 – CVE-2023-20076 (doğrulanmış uzaktan komut Enjeksiyonu)
– Çok çeşitli etkiler @Cisco Cihazlar.
– Saldırganın Cisco web arayüzü alanına kod enjekte etmesine izin verir.
– Ekibimiz, cihaz yeniden başlatmalarından kurtulan kalıcı bir kabuk elde etmek için komut enjeksiyonunu kullandı.— Trellix Gelişmiş Araştırma Merkezi (@TrellixARC) 1 Şubat 2023
Yeniden başlatmalarda kalıcılığı etkinleştirir
Saldırganlar, yalnızca güvenlik açığı bulunan sistemlere kimlik doğrulamalı yönetim erişimine sahiplerse bu güvenlik açığından yararlanabilirler.
Ancak Trellix araştırmacıları, tehdit aktörlerinin ayrıcalık yükseltmeye izin veren diğer güvenlik açıklarından yararlandığını veya yönetici kimlik bilgilerini elde etmek için çeşitli taktikler kullanabileceğini açıkladı.
Örneğin, hedeflenen cihazlara yönetici erişimi elde etmek için şunları kullanabilirler:
- Varsayılan oturum açma kimlik bilgileri: Çoğu Cisco cihazı, “cisco:cisco” veya “admin:admin” varsayılan kullanıcı adı ve parolası ile gönderilir ve birçoğu değiştiremez.
- Kimlik avı: Saldırganların kimlik bilgilerini toplamak için en çok kullandıkları yöntem, çalışanları sahte bir yönlendirici kullanıcı arabiriminde oturum açmaları için kandırmak veya yönlendiricinin kendisinden “firmware güncellemesini talep eden” oturum açma sayfasına bağlantı içeren bir e-postayı yanıltmaktır.
- Sosyal mühendislik: Saldırganlar ayrıca, birisinin kimlik bilgilerini teslim etmesi için sosyal mühendislik yaparak insan zayıflığından yararlanarak başarı elde eder.
Araştırmacıların açıkladığı gibi, bu gereksinim karşılandıktan sonra, saldırganlar CVE-2023-20076’yı “sınırsız erişim, kötü amaçlı kodun sistemde pusuya yatmasına ve yeniden başlatmalarda ve ürün yazılımı yükseltmelerinde kalmasına izin vererek” kullanabilir.
“Bu güvenlik önlemini atlamak, bir saldırgan bu güvenlik açığından yararlanırsa, kötü amaçlı paketin cihaz fabrika ayarlarına sıfırlanana veya manuel olarak silinene kadar çalışmaya devam edeceği anlamına gelir.”
Bu mümkündür, çünkü komut enjeksiyonu, sistem yeniden başlatmaları veya sistem sıfırlamaları arasındaki güvenlik açığı kalıcılığını önlemek için Cisco tarafından uygulamaya konan azaltmaları atlamayı sağlar.
Cisco’nun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), bu güvenlik açığından vahşi ortamda yararlanıldığına dair hiçbir kanıt bulamadığını söylüyor.
Ocak ayında Cisco, müşterilerini kritik bir kimlik doğrulama atlama güvenlik açığına (CVE-2023-20025) karşı uyardı.
Bir hafta sonra Censys, CVE-2023-20025’e karşı yama uygulanmamış ve saldırılara açık 20.000’den fazla RV016, RV042, RV042G ve RV082 Cisco yönlendiricisi buldu.