Siber Güvenlik ve Altyapı Dairesi (CISA), ABD Federal Soruşturma Bürosu (FBI) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin siber güvenlik tavsiyeleri, Jaguar Tooth kötü amaçlı yazılımını kullanan oldukça ilginç bir grup saldırgan hakkında raporlar paylaştı.
Cyble tarafından hazırlanan bir rapora göre, Rus devlet destekli bir grup saldırganın Jaguar Tooth kötü amaçlı yazılımına erişimi var ve yama uygulanmamış Cisco Yönlendiricilerdeki Basit Ağ Yönetimi Protokolü (SNMP) güvenlik açıklarından aktif olarak yararlanıyorlar.
Bu rapor, Jaguar Tooth kötü amaçlı yazılımının kullanımını, etkisini ve bilgisayar korsanlarının Cisco yönlendiricilerinden yararlanmak için nasıl erişim elde ettiğini ayrıntılarıyla anlatıyor.
Jaguar Tooth kötü amaçlı yazılımı ve SNMP güvenlik açığından yararlanma
Danışmanlık belgesi, Cisco Yönlendiriciler üzerindeki SNMP güvenlik açıklarından yararlanma ve kötü şöhretli Jaguar Tooth kötü amaçlı yazılımının müteakip dağıtımı hakkında bilgi sağlar.
SNMP güvenlik açığı veya CVE-2017-6742 olarak bilinen güvenlik açığı, ağ cihazlarının uzaktan izlenmesini ve yapılandırılmasını sağlayan SNMP alt sistemindeki bir arabellek taşması durumundan kaynaklanmaktadır.
CVE-2017-6742’nin önem derecesi, kimliği doğrulanmış uzak saldırganların etkilenen sistemlerde kod yürütmesine veya yeniden yüklemelerine neden olmasına izin verdiği için Yüksek olarak kategorize edilir.
Saldırganların, SNMP Sürüm 2c veya önceki bir sürümünü kullanarak güvenlik açığından yararlanmak için hedeflenen sistemle ilişkili SNMP salt okunur topluluk dizesine ihtiyacı vardır.
SNMP Sürüm 3 söz konusu olduğunda, etkilenen sistem için geçerli kullanıcı kimlik bilgileri gereklidir. Etkilenen MIB’leri veya OID’leri açıkça dışlamadan SNMP’yi etkinleştiren cihazlar savunmasız kabul edilir.
Jaguar Tooth kötü amaçlı yazılımı: yetenekler ve işleyiş biçimleri
Gelişmiş bir kötü amaçlı yazılım çeşidi olan Jaguar Tooth kötü amaçlı yazılımı, özellikle Cisco IOS yönlendiricilerini hedefler.
Dağıtıldıktan sonra otomatik olarak cihaz bilgilerini toplar ve ardından Önemsiz Dosya Aktarım Protokolü (TFTP) aracılığıyla iletilir.
Kötü amaçlı yazılım, Telnet veya fiziksel oturumlar aracılığıyla kimlik doğrulama gerektirmeden herhangi bir yerel hesaba yetkisiz arka kapı erişimi sağlayan bir kimlik doğrulama mekanizması kusurundan yararlanır.
Jaguar Tooth, “askpassword” ve “ask_md5secret” gibi temel işlevlerin normal davranışını geçersiz kılarak, yetkisiz erişim sağlayarak parola doğrulamasını engeller.
Kötü amaçlı yazılım ayrıca, TFTP kullanarak otomatik veri toplama ve hırsızlığı içeren “Hizmet Politikası Kilidi” olarak bilinen yeni bir süreç oluşturur.
Çalınan bilgiler, çalışan yapılandırma, üretici yazılımı sürümü, flash bellek dizin listesi, Adres Çözümleme Protokolü (ARP) girişleri, yönlendirme tabloları, arabirim bilgileri ve diğer yönlendiricilere bağlantılar gibi önemli cihaz ayrıntılarını içerir.
Raporun bulguları, internete açık yaklaşık 77.000 Cisco yönlendiricinin SNMP kullandığını ve bu da onları istismar için potansiyel hedefler haline getirdiğini ortaya koyuyor. Açığa çıkan varlıkların coğrafi temsili, Rusya, Amerika Birleşik Devletleri ve Hindistan’da önemli bir yoğunlaşmaya işaret ediyor.
Etkilenen Cisco IOS sürümleri ve savunmasız MIB’ler
Cisco IOS sürümleri 12.0 – 12.4 ve 15.0 – 15.6 ve IOS XE 2.2 – 3.17, CVE-2017-6742’ye açıktır.
Ayrıca, Cisco siber güvenlik danışmanlığı, cihazları riske atan birkaç savunmasız MIB’yi (Yönetim Bilgi Tabanları) tanımlar:
- ADSL-HATTI-MIB
- ALPS-MİB
- CISCO-ADSL-DMT-LINE-MIB
- CISCO-BSTUN-MIB
- CISCO-MAC-AUTH-BYPASS-MIB
- CISCO-SLB-EXT-MIB
- CISCO-VOICE-DNIS-MIB
- CISCO-VOICE-NUMBER-GENİŞLEME-MIB
- TN3270E-RT-MIB
Son Cisco ağ ekipmanı güvenlik açıkları
Jaguar Tooth kötü amaçlı yazılımını yamasız dokunmak için kullanma Cisco Router’lardaki güvenlik açıkları ilginç ama kaçınılmaz bir gelişme olarak karşımıza çıkıyor. Siber suçlular, küresel kabul edilebilirlikleri nedeniyle Cisco ürün ve hizmetlerindeki hataları inceliyorlar.
Nisan ayında Cisco, IOS Yazılımında ve IOS XE Yazılımında hizmet reddi (DoS) durumuyla sonuçlanabilecek kritik bir güvenlik açığı belirledi.
Güvenlik açığı, HTTP sunucu kodundaki uygun olmayan kaynak yönetiminden kaynaklanmaktadır. Bu kusurdan yararlanmak, savunmasız bir cihaza çok sayıda HTTP isteği göndermeyi içerir, bu da potansiyel olarak cihazın yeniden yüklenmesine ve bir DoS durumuyla sonuçlanmasına neden olur.
Etkilenen ürünler arasında, IOS Yazılımının güvenlik açığı bulunan sürümlerini çalıştıran Cisco cihazları veya HTTP özelliği etkinleştirilmiş IOS XE Yazılımı yer alır. Güvenlik açığı, 3SE ve 3E sürüm dizileri içindeki IOS XE Yazılımının tüm güvenlik açığı bulunan sürümlerinde mevcuttur.
Uyarıdan günler önce Cisco, Cisco IOS XE Yazılımının Cloud Management for Catalyst geçiş özelliğinde, kimliği doğrulanmış erişime sahip yerel bir saldırganın etkilenen bir cihazda kök düzeyinde ayrıcalıklar kazanmasına izin verebilecek başka bir güvenlik açığını açıkladı.
Güvenlik açığı, cihazın Meraki geçiş özelliğindeki yetersiz bellek korumasından kaynaklanıyor ve saldırganın Meraki kayıt parametrelerini manipüle etmesine ve ayrıcalıkları root’a yükseltmesine olanak tanıyor. Cisco, bu güvenlik açığını gidermek için yazılım güncellemeleri yayınladı ve herhangi bir geçici çözüm mevcut değil.
Bu güvenlik açığı, Cisco IOS XE Yazılımının savunmasız sürümlerini çalıştıran Cisco Catalyst 9200 Serisi Anahtarları ve Catalyst 9300 Serisi Anahtarları etkiledi. IOS Yazılımı, IOS XR Yazılımı, Meraki ürünleri ve NX-OS Yazılımı gibi diğer Cisco ürünlerinin etkilenmeyeceği onaylanmıştır.