Cisco, IOS XE’deki yeni bir sıfır gün kusurunun, bilinmeyen bir tehdit aktörü tarafından duyarlı cihazlara kötü amaçlı Lua tabanlı bir implant yerleştirmek için aktif olarak kullanıldığı konusunda uyardı.
Şu şekilde izlendi: CVE-2023-20273 (CVSS puanı: 7,2), sorunun web kullanıcı arayüzü özelliğindeki bir ayrıcalık yükseltme kusuruyla ilgili olduğu ve bir yararlanma zincirinin parçası olarak CVE-2023-20198 ile birlikte kullanıldığı söyleniyor.
Cisco, Cuma günü yayınlanan güncellenmiş bir danışma belgesinde, “Saldırgan ilk olarak CVE-2023-20198’i ilk erişim elde etmek için kullandı ve yerel bir kullanıcı ve şifre kombinasyonu oluşturmak için ayrıcalık 15 komutunu yayınladı.” dedi. “Bu, kullanıcının normal kullanıcı erişimiyle oturum açmasına olanak sağladı.”
“Saldırgan daha sonra web kullanıcı arayüzü özelliğinin başka bir bileşenini istismar etti ve yeni yerel kullanıcıyı köklendirme ayrıcalığını yükseltmek ve implantı dosya sistemine yazmak için kullandı.” Bu eksiklik, CVE-2023-20273 tanımlayıcısı olarak atanmıştır.
Bir Cisco sözcüsü The Hacker News’e, her iki güvenlik açığını da kapsayan bir düzeltmenin belirlendiğini ve 22 Ekim 2023’ten itibaren müşterilere sunulacağını söyledi. Bu arada, HTTP sunucusu özelliğinin devre dışı bırakılması önerilir.
Cisco daha önce aynı yazılımdaki yamalı bir güvenlik açığının arka kapıyı yüklemek için kullanıldığını belirtmiş olsa da şirket, yeni sıfır günün keşfi ışığında güvenlik açığının artık etkinlikle ilişkili olmadığını değerlendirdi.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), “Kimliği doğrulanmamış uzak bir aktör, etkilenen sistemin kontrolünü ele geçirmek için bu güvenlik açıklarından yararlanabilir” dedi. “Özellikle bu güvenlik açıkları, aktörün cihaz üzerinde tam kontrol sağlayan ayrıcalıklı bir hesap oluşturmasına olanak tanıyor.”
Hataların başarılı bir şekilde kullanılması, saldırganların yönlendiricilere ve anahtarlara sınırsız uzaktan erişim elde etmesine, ağ trafiğini izlemesine, ağ trafiğini enjekte etmesine ve yeniden yönlendirmesine ve bu cihazlar için koruma çözümlerinin bulunmaması nedeniyle bunu ağa kalıcı bir koruma noktası olarak kullanmasına olanak tanıyabilir.
Censys’ten alınan verilere göre bu gelişme, savunmasız IOS XE yazılımını çalıştıran 41.000’den fazla Cisco cihazının iki güvenlik açığını kullanan tehdit aktörleri tarafından ele geçirildiğinin tahmin edilmesiyle ortaya çıktı. SızıntıIX.
Saldırı yüzeyi yönetim firması, “19 Ekim’de ele geçirilen Cisco cihazlarının sayısı 36.541’e düştü” dedi. “Bu güvenlik açığının birincil hedefleri büyük şirketler değil, daha küçük kuruluşlar ve bireylerdir.”