Cisco Çarşamba günü müşterilerini, vahşi ortamda saldırganların hedef aldığı sıfır gün IOS ve IOS XE yazılım güvenlik açığını düzeltmeleri konusunda uyardı.
Cisco Gelişmiş Güvenlik Girişimleri Grubu’ndan (ASIG) XB tarafından keşfedilen bu orta önemdeki güvenlik açığı (CVE-2023-20109), GET VPN özelliğinin Grup Yorumlama Alanı (GDOI) ve G-IKEv2 protokolleri içindeki yetersiz öznitelik doğrulamasından kaynaklanır.
Neyse ki, başarılı bir şekilde yararlanma gereksinimleri, potansiyel saldırganların bir anahtar sunucu veya bir grup üyesi üzerinde yönetici kontrolüne sahip olmasını gerektirir. Bu, saldırganların, anahtar sunucu ile grup üyeleri arasındaki tüm iletişimin şifrelendiğini ve doğrulandığını görerek zaten ortama sızdıkları anlamına gelir.
Cisco, çarşamba günü yayınlanan bir güvenlik tavsiyesinde şöyle açıkladı: “Bir saldırgan, yüklü bir anahtar sunucuyu tehlikeye atarak veya bir grup üyesinin yapılandırmasını, saldırgan tarafından kontrol edilen bir anahtar sunucuya işaret edecek şekilde değiştirerek bu güvenlik açığından yararlanabilir.”
“Başarılı bir istismar, saldırganın rastgele kod çalıştırmasına ve etkilenen sistemin tam kontrolünü ele geçirmesine veya etkilenen sistemin yeniden yüklenmesine neden olarak hizmet reddi (DoS) durumuyla sonuçlanmasına olanak tanıyabilir.”
Sıfır gün hatası, GDOI veya G-IKEv2 protokolünün etkin olduğu, savunmasız bir IOS veya IOS XE yazılım sürümünü çalıştıran tüm Cisco ürünlerini etkiliyor.
Meraki ürünleri ve IOS XR ve NX-OS yazılımı çalıştıranlar, CVE-2023-20109 açıklarından yararlanan saldırılara maruz kalmıyor.
Vahşi sömürüde
Bu güvenlik açığından başarıyla yararlanmak için gereken hedef ortama kapsamlı erişime rağmen şirket, aynı tavsiye belgesinde tehdit aktörlerinin saldırılarda zaten bu güvenlik açığını hedeflemeye başladığını açıkladı.
Danışma belgesinde “Cisco, GET VPN özelliğinden yararlanma girişimini keşfetti ve bu özelliğe ilişkin teknik kod incelemesi gerçekleştirdi. Bu güvenlik açığı dahili araştırmamız sırasında keşfedildi” ifadesi yer alıyor.
“Cisco, müşterilerin bu güvenlik açığını gidermek için sabit bir yazılım sürümüne yükseltme yapmalarını şiddetle tavsiye etmeye devam ediyor.”
Çarşamba günü Cisco ayrıca, Catalyst SD-WAN Manager ağ yönetimi yazılımının Güvenlik Onaylama İşaretleme Dili (SAML) API’lerindeki kritik bir güvenlik açığı için güvenlik yamaları yayınladı.
Başarılı bir şekilde yararlanma, kimliği doğrulanmamış saldırganların, isteğe bağlı bir kullanıcı olarak uygulamaya uzaktan yetkisiz erişim elde etmesine olanak tanır.