Cisco, saldırganların sonuçta kötü amaçlı bir implant yerleştirmek için kullandığı IOS XE sıfır gün (CVE-2023-20198) için ilk düzeltmeleri yayınladı.
Düzeltmeler Pazar günü kullanıma sunuldu, ancak önceki gün ilginç bir şey oldu: Birçok siber güvenlik şirketi ve kuruluşu, bu implantı kullanan, internete bakan Cisco cihazlarının sayısında büyük bir azalma olduğunu fark etti.
Bu değişikliğin ardındaki neden henüz belli değil ancak çeşitli teoriler öne sürüldü.
Saldırganlar iki sıfır günden yararlandı (CVE-2023-20273)
16 Ekim’de Cisco, saldırganların en yüksek ayrıcalıklı hesaplar oluşturmak için Cisco IOS XE yazılımının web kullanıcı arayüzünde daha önce bilinmeyen bir güvenlik açığından (CVE-2023-20198) ve daha eski bir güvenlik açığından (CVE-2021-1435) yararlandığının tespit edildiğini açıkladı. internete bakan ağ cihazlarına bir implant/arka kapı yükleyin.
20 Ekim’de (geçtiğimiz Cuma) şirket bulgularını değiştirdi ve saldırganların aslında CVE-2021-1435’ten yararlanmadıklarını doğruladı.
Bir Cisco sözcüsü Help Net Security’ye şunları söyledi: “Snort imzası erken tetiklendiğinden (telemetride görüldü), ancak istismar hakkında daha fazla bilgi toplandıkça bunun birbiriyle ilişkili olmadığı belirlendi.”
Bunun yerine saldırganlar, implantı çalıştırmak için WebUI özelliğinin başka bir bileşenindeki sıfır günü (CVE-2023-20273) kullandı.
Şirket, implantın yeniden başlatmaya devam edemeyeceğini, ancak saldırganlar tarafından oluşturulan hesapların, tehdit aktörlerinin yeniden erişim olasılığını ortadan kaldırmak için kurumsal savunucular tarafından iptal edilmesi/geçersiz kılınması gerektiğini söyledi.
CVE-2023-20198 düzeltmeleri yayınlandı
Cisco, güvenlik ekiplerinin kuruluşlarının cihazlarının güvenliğinin ihlal edilip edilmediğini tespit etmesine yardımcı olmak için güvenlik ihlali göstergelerini paylaştı.
Cisco IOS XE için ilk sabit sürüm şu anda mevcut, ancak yalnızca yüksek ayrıcalıklı hesapların (yani yönetici hesapları) oluşturulmasına izin veren kusur olan CVE-2023-20198’i düzeltiyor.
Diğer düzeltmeler yayınlanana kadar kuruluşların, bu güvenlik açıklarına yönelik saldırı vektörünü ortadan kaldırmak için HTTP Sunucusu özelliğini devre dışı bırakmaları isteniyor.
Cihazlarınızın güvenliğinin ihlal edilmediğinden emin olun
Saldırıların devam ettiğinin kamuoyuna duyurulmasının ardından siber güvenlik firmaları, arka kapının kurulu olduğu anlaşılan erişilebilir cihazlar için interneti taradı ve bunlardan 40.000 ila 50.000 arasında bulundu.
Ancak Cumartesi günü bu implantların çoğu artık tespit edilemedi.
Birçok kuruluşun, kalıcı olmayan implantı hızlı bir şekilde kaldırmak için Cisco cihazlarını yeniden başlatması mümkün olsa da, bunun bu kadar hızlı ve bu kadar büyük bir ölçekte gerçekleşmesi pek mümkün değil.
CERT Orange Cyberdefense, birisinin implantın izlerini büyük ölçekte temizlediğini öne sürdü. Saldırganların (ya da kolluk kuvvetlerinin ya da beyaz şapkalı bir hackerın) koordineli eylemi en makul teori gibi görünüyor.
Orange Cyberdefense güvenlik uzmanları, “Bu temizleme adımıyla ilgili zaten güvenilir bilgiler aldık, ancak bu çok kapsamlı bir şekilde değil” dedi.
“İmplantın düne kadar burada olduğu ama bugün artık orada olmayan ekipmanların hala bozuk olduğunu ve belki de başka bir kullanım aşamasında olduğunu varsaymamız gerekiyor.” katmave kuruluşlara, cihazlarına kötü niyetli kullanıcıların eklenmediğinden ve yapılandırmalarının değiştirilmediğinden emin olmak için araştırma yapmalarını tavsiye etti.