Son raporlar, bilgisayar korsanlarının Cisco Akıllı Lisanslama Yardımcı Programındaki iki kritik güvenlik açıkından aktif olarak kullanmaya çalıştığını göstermektedir.
CVE-2024-20439 ve CVE-2024-20440 olarak tanımlanan bu güvenlik açıkları Eylül ayında Cisco tarafından açıklanmıştır.
İlk güvenlik açığı statik bir kimlik bilgisi sorunu içerirken, ikincisi aşırı günlüğe bağlı bir bilgi açıklama güvenlik açığıdır.
Güvenlik açıklarına genel bakış
- CVE-2024-20439: Cisco Akıllı Lisanslama Yardımcı Programı Statik Kimlik Bilgisi Güvenlik Açığı
Bu güvenlik açığı, saldırganların etkilenen sistemlere yetkisiz erişime izin verebilecek sabit bir şifrenin kullanılmasını içerir. Bu tür bir güvenlik açığı, ürün bakımı veya sorun giderme için bir arka kapı görevi gören yazılımda nadir değildir. - CVE-2024-20440: Cisco Akıllı Lisanslama Yardımcı Program Bilgileri Açıklama Güvenlik Açığı
Bu güvenlik açığı, günlük dosyalarının istenenden daha hassas bilgileri açıkladığı bir sorunla ilgilidir. İlk güvenlik açığından yararlanarak, saldırganlar potansiyel olarak bu günlük dosyalarına erişebilir ve daha fazla güvenlik riskine yol açabilir.
Denemeler ve etkinliklerden yarar
SANS Institute raporuna göre, arka kapı kimlik bilgileri de dahil olmak üzere güvenlik açıklarıyla ilgili ayrıntılar, danışmanlık yayınlanmasından kısa bir süre sonra yayınlandı.
İstismar girişimlerinin /CSLU /V1’de bulunan API uç noktasına odaklandığı belirtilmiştir. Gözlenen taleplerden biri şunları içerir:
GET /cslu/v1/scheduler/jobs HTTP/1.1
Host: [redacted]:80
Authorization: Basic Y3NsdS13aW5kb3dzLWNsaWVudDpMaWJyYXJ5NEMkTFU=
Connection: closeBu istekdeki Base64 kodlu dize, daha önce Nicholas Starke tarafından bir blog yazısı tarafından varsayılan kimlik bilgileri olarak tanımlanan CSLU-Windows-Müvekkil: Library4C $ LU’ya kod çözer.
Bu istismarların arkasındaki grup, “/web.config.zip” gibi yapılandırma dosyalarını tarama da dahil olmak üzere diğer güvenlik açıklarını da araştırıyor.
Ayrıca, kesin CVE belirsiz olmasına rağmen, muhtemelen CVE-2024-0305 gibi DVR ile ilgili bir güvenlik açığı gibi görünen şeyi hedefliyorlar. Başka bir istismar girişimi farklı kimlik bilgilerini içerir:
GET /classes/common/busiFacade.php HTTP/1.1
Host: [redacted]:80
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.120 Safari/537.36
Authorization: Basic aGVscGRlc2tJbnRlZ3JhdGlvblVzZXI6ZGV2LUM0RjgwMjVFNw==
Content-Type: application/x-www-form-urlencoded
Connection: closeBu kimlik bilgileri HelpDesTiNtegationUser: Dev-C4F8025E’ye göre kod çözer.
Cisco’nun akıllı lisanslama yardımcı programındaki güvenlik açığı, hem düşük maliyetli IoT cihazlarının hem de üst düzey kurumsal güvenlik yazılımının genellikle benzer temel güvenlik açıklarını paylaştığı daha geniş bir sorunu vurgulamaktadır.
Bilgisayar korsanları bu tür zayıflıklardan yararlanmaya devam ettikçe, kuruluşlar uyanık kalmalı ve sistemlerini korumak için derhal yamalar uygulamalıdır.
Kullanıcılar için öneriler:
- Güncelleme ve Yama: Tüm yazılım ve sistemlerin en son güvenlik yamalarıyla güncellendiğinden emin olun.
- Monitör Etkinliği: Olağandışı erişim denemeleri için sistem günlüklerini düzenli olarak izleyin.
- Güvenli Kimlik Bilgileri: Güçlü şifreler kullanın ve mümkün olduğunca varsayılan kimlik bilgilerinden kaçının.
Günümüzün siber manzarasında, proaktif güvenlik önlemleri başarılı istismar riskini önemli ölçüde azaltabilir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free