Bu ses otomatik olarak oluşturulmuştur. Geri bildiriminiz varsa lütfen bize bildirin.
Cisco IOS XE yazılımının web kullanıcı arayüzündeki kritik bir sıfır gün güvenlik açığı aktif olarak istismar edilmektedir. şirket Pazartesi açıklandı.
Cisco, güvenlik açığının uzak, kimliği doğrulanmamış saldırganlara, etkilenen bir sistemde hesap oluşturma yeteneği verdiğini ve bilgisayar korsanının, tüm komutlara tam erişim anlamına gelen ayrıcalık düzeyi 15 erişimiyle sistem üzerinde kontrol sahibi olmasına olanak tanıdığı konusunda uyardı.
Şirket, web kullanıcı arayüzü özelliği etkinse güvenlik açığının Cisco IOS XE yazılımını etkilediğini söyledi. Güncel bir yama veya mevcut bir geçici çözüm bulunmadığından Cisco, müşterilerini internete bakan sistemlerde HTTP Sunucusu özelliğini devre dışı bırakmaya çağırıyor.
VulnCheck’in CTO’su ve baş araştırmacısı Jacob Baines, “IOS XE’deki ayrıcalıklı erişim muhtemelen saldırganların ağ trafiğini izlemesine, korumalı ağlara girmesine ve herhangi bir sayıda ortadaki adam saldırısı gerçekleştirmesine olanak tanıdığından bu kötü bir durum” dedi. bir blog yazısında söyledi.
Tenable’da personel araştırma mühendisi olan Scott Caveza, bu kadar yüksek düzeyde erişime sahip bir saldırganın, ağ yönlendirme kurallarını değiştirebileceğini ve kontrollü sunuculara erişmek ve verileri çalmak için bağlantı noktalarını açabileceğini söyledi.
Caveza’ya göre tehdit aktörü, her iki güvenlik açığını da içeren tehdit faaliyetlerine dayanarak Cisco IOS XE hakkında kapsamlı bilgiye sahip görünüyor.
Caveza, “Bu tehdit aktörünün Cisco IOS XE yazılımı konusunda oldukça bilgili olduğu ve saldırı zincirinin bir hedefe karşı konuşlandırılmadan önce çalıştığını doğrulamak için bunu test ettiği görülüyor” dedi.
VulnCheck’ten araştırmacılar interneti taradıktan sonra binlerce implante edilmiş konakçı bulduğunu söyledi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı Bilinen Yararlanılan Güvenlik Açıkları Kataloğuna CVE-2023-20198 eklendi.
Erken uyarı
Cisco Talos’taki araştırmacılar Pazartesi günkü bir blog gönderisine göre, Cisco’nun teknik yardım merkezinde bir vaka açıldığında ve bir müşterinin cihazında şüpheli aktivite görüldüğünde, potansiyel olarak kötü niyetli aktiviteyi ilk olarak 28 Eylül’de fark ettiklerini söyledi.
Araştırmacılar, ek incelemenin ardından ilgili etkinliğin, yetkili bir kullanıcının şüpheli bir IP adresinden “cisco_tac_admin” adı altında yerel bir kullanıcı hesabı oluşturduğu 18 Eylül’e kadar takip edildiğini söyledi.
Bloga göre, 12 Ekim itibarıyla Cisco Talos, yetkisiz bir kullanıcının farklı bir şüpheli IP adresinden “cisco_support” adı altında bir hesap oluşturması durumunda ek bir şüpheli etkinlik kümesi tespit etti.
Ekim etkinliği kapsamında konfigürasyon dosyasını içeren bir implant konuşlandırıldı. Araştırmacılar, implantın Lua programlama diline dayandığını ve keyfi komutların yürütülmesini kolaylaştırmaya yardımcı olan 29 satır koda sahip olduğunu söyledi.
Bilgisayar korsanı eski bir güvenlik açığından yararlandı. CVE-2021-1435Cihaza erişim sağladıktan sonra implantı kurmak için. Bu güvenlik açığı, bir saldırganın kök kullanıcı olarak yürütülebilecek rastgele komutlar eklemesine olanak tanır.
Cisco Talos, implantın CVE-2021-1435’e karşı tamamen yamalı cihazlara bilinmeyen bir mekanizma tarafından kurulduğunu söyledi.