Cisco Zero-Day Güvenlik Açığı Çinli Hackerlar Tarafından Kullanıldı

   Temmuz 2, 2024  Posted in ThecyberExpress


Cisco, NX-OS yazılımındaki kritik bir sıfır günlük güvenlik açığını düzeltti. Düzeltilen Cisco sıfır günlük güvenlik açığı, Nisan ayındaki saldırılarda daha önce bilinmeyen kötü amaçlı yazılımları savunmasız anahtarlara kök olarak yüklemek için kullanıldı. Olayları Cisco’ya bildiren siber güvenlik firması Sygnia, saldırıları Velvet Ant olarak takip ettiği Çin devlet destekli bir tehdit aktörüne bağladı.

Sygnia’nın resmi açıklamasında, “Güvenlik açığı, Sygnia’nın ‘Velvet Ant’ olarak adlandırdığı bir tehdit aktörü tarafından yürütülen Çin bağlantılı bir siber casusluk operasyonuna yönelik Sygnia tarafından gerçekleştirilen daha geniş bir adli soruşturmanın parçası olarak tespit edildi” ifadeleri yer aldı.

Cisco Zero-Day Güvenlik Açığı Genel Bakışı

CVE-2024-20399 olarak tanımlanan yamalanmış Cisco sıfır günlük güvenlik açığı, Cisco NX-OS Yazılım Komut Satırı Arayüzünde (CLI) bir komut enjeksiyon kusurudur. Bu güvenlik açığı, çok çeşitli Cisco Nexus cihazlarını etkiler.

Cisco, 1 Temmuz’da, geçerli yönetici kimlik bilgilerine sahip saldırganların etkilenen cihazların altta yatan Linux işletim sisteminde keyfi komutlar yürütmesine olanak tanıyan güvenlik açığının niteliğini ve kapsamını ayrıntılı olarak açıklayan bir duyuru yayınladı. Cisco’nun resmi açıklamasında, “Cisco bu güvenlik açığını gideren yazılım güncellemeleri yayınladı. Bu güvenlik açığını gideren geçici çözüm yok” yazıyor.

Sygnia, Velvet Ant tarafından yürütülen bir China-nexus siber casusluk operasyonunun adli soruşturması sırasında bu açığı keşfetti. Soruşturma, tehdit aktörünün Nexus anahtarlarının temel işletim sisteminde kötü amaçlı kod yürütmek için sıfır günlük açığı kullandığını ortaya çıkardı.

Velvet Ant’in CVE-2024-20399’u istismar etmesi, tehlikeye atılmış Cisco Nexus aygıtlarında özel kötü amaçlı yazılımların yürütülmesini sağladı. Bu kötü amaçlı yazılım, aygıtlara uzaktan bağlantılar kolaylaştırdı ve saldırganların ek dosyalar yüklemesine ve daha fazla kod yürütmesine olanak tanıdı.

Ağ cihazları, özellikle anahtarlar, genellikle izlenmez ve günlükleri nadiren merkezi bir günlük sistemine iletilir; bu da bu tür kötü amaçlı faaliyetlerin tespit edilmesini ve araştırılmasını zorlaştırır.

Sygnia, “Bu istismar, tehdit grubunun tehlikeye atılmış Cisco Nexus cihazlarına uzaktan bağlanmasına, ek dosyalar yüklemesine ve cihazlarda kod yürütmesine olanak tanıyan daha önce bilinmeyen özel bir kötü amaçlı yazılımın yürütülmesine yol açtı” dedi.

Cisco NX-OS’nin Arka Planı

Cisco NX-OS Yazılımı, Cisco’nun Nexus anahtar serisi için kullanılan bir ağ işletim sistemidir. NX-OS bir Linux çekirdeğine dayansa da, altta yatan Linux ortamını soyutlar ve NX-OS CLI aracılığıyla kendi komut setini sağlar. Anahtar yönetim konsolundan altta yatan Linux işletim sisteminde komutları yürütmek için, bir saldırganın NX-OS CLI bağlamından kaçmak için bir “jailbreak” türü güvenlik açığına ihtiyacı olacaktır.

Yeni tespit edilen güvenlik açığı, Switch yönetim konsoluna yönetici düzeyinde erişimi olan saldırganların NX-OS CLI’den çıkıp altta yatan Linux işletim sisteminde keyfi komutlar yürütmesine olanak tanıyor.

Etki ve Risk Değerlendirmesi

Cisco Nexus anahtarları, özellikle veri merkezlerinde olmak üzere kurumsal ortamlarda yaygın olarak dağıtılmaktadır. Belirlenen güvenlik açığından yararlanmak için tehdit grubunun geçerli yönetici düzeyinde kimlik bilgilerine sahip olması ve Nexus anahtarına ağ erişimi olması gerekir.

Çoğu Nexus anahtarının doğrudan internete maruz kalmaması göz önüne alındığında, saldırganların bu güvenlik açığından yararlanmak için öncelikle bir kuruluşun dahili ağına ilk erişimi elde etmeleri gerekir. Bu, kuruluşlar için genel riski azaltır, ancak olay ağ cihazlarını izleme ve korumanın önemini vurgular.

Azaltma Stratejileri

Cisco, duyuruda açıklanan güvenlik açığını gidermek için yazılım güncellemeleri yayınladı. Etkilenen cihazları güncellemek birincil azaltma stratejisidir. Ancak, yazılım güncellemeleri hemen kullanılabilir olmadığında, yetkisiz erişimi önlemek ve olası istismarı azaltmak için en iyi güvenlik uygulamalarını benimsemek hayati önem taşır. Bu uygulamalar şunları içerir:

  1. Yönetimsel Erişimi Kısıtla: Ağ ekipmanlarına erişimi kısıtlamak için Ayrıcalıklı Erişim Yönetimi (PAM) çözümlerini veya çok faktörlü kimlik doğrulama (MFA) ile özel, güçlendirilmiş atlama sunucularını kullanın. Bu seçenekler uygulanabilir değilse, erişimi belirli ağ adresleriyle sınırlayın.
  2. Kimlik Doğrulama, Yetkilendirme ve Muhasebe Yönetimini (AAA) Merkezileştirin: Güvenliği kolaylaştırmak ve geliştirmek için TACACS+ ve Cisco ISE gibi sistemleri kullanın. Merkezi kullanıcı yönetimi, izlemeyi, parola rotasyonunu ve erişim incelemelerini basitleştirir ve bir tehlike durumunda hızlı bir düzeltmeye olanak tanır.
  3. Güçlü Parola Politikalarını Uygulayın: Yönetici kullanıcıların karmaşık, güvenli bir şekilde saklanan parolalara sahip olduğundan emin olun. Yönetici hesap parolalarını otomatik olarak döndürmek için Ayrıcalıklı Kimlik Yönetimi (PIM) çözümlerini kullanın veya kısıtlı erişime sahip bir parola kasası kullanın.
  4. Giden İnternet Erişimini Kısıtla: Anahtarların internete giden bağlantılar başlatmasını önlemek için sıkı güvenlik duvarı kuralları ve erişim kontrol listeleri (ACL’ler) uygulayın.
  5. Düzenli Yama ve Güvenlik Açığı Yönetimini Uygulayın: Tüm ağ cihazlarına düzenli olarak yamaları inceleyin ve uygulayın. Güvenlik açıklarını belirlemek ve önceliklendirmek için otomatik araçlar kullanın.

“Yazılım yükseltmelerini değerlendirirken, müşterilere Cisco Güvenlik Tavsiyeleri sayfasından erişilebilen Cisco ürünlerine ilişkin tavsiyelere düzenli olarak başvurmaları, maruziyeti ve eksiksiz bir yükseltme çözümünü belirlemeleri önerilir. Her durumda, müşteriler yükseltilecek cihazların yeterli belleğe sahip olduğundan emin olmalı ve mevcut donanım ve yazılım yapılandırmalarının yeni sürüm tarafından düzgün şekilde desteklenmeye devam edeceğini teyit etmelidir. Bilgiler net değilse, müşterilere Cisco Teknik Yardım Merkezi (TAC) veya sözleşmeli bakım sağlayıcılarıyla iletişime geçmeleri önerilir,” diye ısrar ediyor Cisco.

İzleme ve Algılama

Görünürlüğü artırmak ve günlükleri merkezi bir günlük çözümüne iletmek, ağ aygıtlarındaki kötü amaçlı etkinlikleri belirlemede önemli adımlardır. Kuruluşlar şunları yapmalıdır:

  • Günlük verilerini merkezi bir sunucuya göndermek için tüm anahtarlarda Syslog’u etkinleştirin.
  • Olayları ilişkilendirmek ve anormallikleri tespit etmek için anahtar günlüklerini bir Güvenlik Bilgi ve Olay Yönetimi (SIEM) sistemiyle entegre edin.
  • Yetkisiz SSH bağlantıları gibi şüpheli etkinlikleri belirlemek için uyarılar yapılandırın.
  • Cisco anahtarlarıyla ilişkili anormallikleri tespit etmek için ağ trafiğini düzenli olarak analiz edin; SSH ve Telnet gibi yönetim portlarına odaklanın.

Velvet Ant’in CVE-2024-20399’u istismar etmesi, devlet destekli siber aktörlerin oluşturduğu kalıcı ve gelişen tehditleri vurgulamaktadır. Cisco’nun güvenlik açığını zamanında düzeltmesi ve Sygnia’nın ayrıntılı adli soruşturması, bu tür tehditleri azaltmada önemli içgörüler sağlar.



Source link