Saldırganlar, yerleşik bir arka kapı yönetici hesabını açığa çıkaran bir güvenlik açığına karşı açılan Cisco Akıllı Lisanslama Yardımcı Programı (CSLU) örneklerini hedeflemeye başladı.
CSLU Windows uygulaması, yöneticilerin lisansları ve bağlantılı ürünleri şirket içi Cisco’nun bulut tabanlı akıllı yazılım yöneticisi çözümüne bağlamadan yönetmesine olanak tanır.
Cisco, Eylül ayında bu güvenlik kusurunu (CVE-2024-20439 olarak izlendi) yamaladı ve bunu, kimliksiz saldırganların CSLU uygulamasının API’si üzerinden yönetici ayrıcalıkları ile donatılmamış sistemlere uzaktan sistemlere girmesine izin verebilecek “idari bir hesap için belgesiz statik kullanıcı kimlik bilgisi” olarak tanımladı.
Şirket ayrıca, savunmasız cihazlara hazırlanmış HTTP istekleri göndererek, yetkili olmayan saldırganların hassas veriler (API kimlik bilgileri dahil) içeren günlük dosyalarına erişmek için kullanabileceği ikinci bir kritik CLSU bilgi açıklama güvenlik açığı (CVE-2024-20440) ele aldı.
Bu iki güvenlik açığı, yalnızca savunmasız Cisco akıllı lisanslama yardımcı programı sürümlerini çalıştıran sistemleri etkiler ve yalnızca kullanıcı CSLU uygulamasını başlatırsa – varsayılan olarak arka planda çalışacak şekilde tasarlanmamışsa kullanılabilir.
Aruba tehdidi araştırmacısı Nicholas Stanste, kırılganlığı tersine çevirdi ve Cisco’nun güvenlik yamalarını yayınlamasından yaklaşık iki hafta sonra teknik ayrıntılarla (kod çözülmüş hard kodlu statik şifre dahil) bir yazı yayınladı.
Saldırılarda hedeflendi
SANS Teknoloji Enstitüsü’nün Araştırma Dekanı Johannes Ullrich, tehdit aktörlerinin artık internette maruz kalan CSLU örneklerini hedefleyen sömürü girişimlerinde iki güvenlik kusurunu zincirlediğini bildirdi.
“Hızlı bir arama herhangi bir aktif sömürü göstermedi [at the time]ancak arka kapı kimlik bilgileri de dahil olmak üzere detaylar, Cisco’nun danışmanlığını yayınladıktan kısa bir süre sonra Nicholas Starke tarafından bir blogda yayınlandı. Bu yüzden bazı istismar faaliyetleri görmemiz şaşırtıcı değil, “dedi Ullrich.
Bu saldırıların nihai hedefi bilinmese de, arkasındaki tehdit aktörü, Guangzhou Yingke elektronik DVR’lerini etkileyen bir kamu kavram kanıtı (CVE-2024-0305) ile bir bilgi açıklama kusuru gibi görünen diğer güvenlik açıklarından da yararlanmaya çalışıyor.
Cisco’nun CVE-2024-20439 ve CVE-2024-20440 güvenlik danışmanlığı hala ürün güvenliği olay müdahale ekibinin (PSIR) tehdit aktörlerinin saldırılardaki iki güvenlik kusurundan yararlandığına dair hiçbir kanıt bulamadığını söylüyor.
CVE-2024-20439, Cisco’nun son yıllarda ürünlerinden çıkarılan ilk arka kapı hesabı değil, şirketin Dijital Ağ Mimarisi (DNA) Merkezi, iOS XE, Geniş Alan Uygulama Hizmetleri (WAAS) ve acil durum yanıtlayıcı yazılımlarında daha önce sabit kodlanmış kimlik bilgileri.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.