Küçük ve orta ölçekli işletmeler (KOBİ’ler) için Cisco yönlendiricilerindeki iki güvenlik açığı, kimliği doğrulanmamış siber saldırganların kök ayrıcalıklarıyla komutları çalıştırmak için bir hedef cihazın tam kontrolünü ele geçirmesine izin verebilir. Ne yazık ki, kavram kanıtlama istismarları ortalıkta dolaşsa bile yamasız kalacaklar.
Diğer şeylerin yanı sıra, başarılı bir uzlaşma, siber saldırganların cihazdan akan VPN ve oturum trafiğini dinlemesine veya ele geçirmesine, bir şirketin ağında yanal hareket için bir yer edinmesine veya kripto madencileri, botnet istemcileri veya diğer kötü amaçlı yazılımları çalıştırmasına olanak sağlayabilir.
Bugcrowd’un kurucusu ve CTO’su Casey Ellis, “Teknik açıdan çekici bir hedef. Bir saldırgan olarak, çekirdek yönlendirme veya ağ altyapısı üzerinde uzaktan kod yürütmeyi başarırsanız, yanal olarak hareket etme yeteneğiniz katlanarak artar,” dedi. e-postayla gönderilen bir yorumda.
Kritik Dereceli Hata, Kök Ayrıcalıkları Sunar
İlk hata, cihazların Web yönetim arabiriminde bulunan ve CVSS güvenlik açığı-önem ölçeğinde 10 üzerinden 9 puan taşıyan kritik dereceli bir kimlik doğrulama baypas sorunudur (CVE-2023-20025).
Bu arada, CVE-2023-20026 olarak izlenen ikinci kusur, bir uyarıyla uzaktan kod yürütülmesine (RCE) izin verebilir: Bir saldırganın başarılı olabilmesi için etkilenen cihazda geçerli yönetici kimlik bilgilerine sahip olması gerekir, bu nedenle hata orta olarak derecelendirilir. 6.5 CVSS puanı ile.
Her ikisi de RV016, RV042, RV042G ve RV082 yönlendiricilerin kullanım ömrünün sonuna (EoL) ulaşan tüm sürümlerini etkiler. Bu nedenle, ağ devinin 11 Ocak tarihli tavsiye belgesine göre cihazlar artık güvenlik güncellemeleri almıyor.
Danışma belgesi, her iki hatanın da “gelen HTTP paketleri içindeki kullanıcı girişinin yanlış doğrulanmasından kaynaklandığını” belirtti, bu nedenle bir saldırganın, temel işletim sisteminde kök erişimi elde etmek için Web tabanlı yönetim arayüzüne yalnızca hazırlanmış bir HTTP isteği göndermesi gerekiyor.
Vahşi saldırılar şimdiye kadar tespit edilmemiş olsa da Cisco, “bu danışma belgesinde açıklanan güvenlik açıkları için kavram kanıtı istismar kodunun mevcut olduğunun farkındadır” dedi.
Hataları ele alan herhangi bir geçici çözüm bulunmamakla birlikte, Cisco’ya göre yönlendiricilerin uzaktan yönetimini devre dışı bırakmak ve 443 ve 60443 numaralı bağlantı noktalarına erişimi engellemek olası bir hafifletme olabilir, yani yönlendiricilere yalnızca LAN arabirimi aracılığıyla erişilebilir.
Netenrich’teki baş tehdit avcısı John Bambenek, “Açık internetten erişilebilen ağ cihazlarının uzaktan yönetimine izin vermemek her zaman en iyi uygulamadır, ancak bazı MSP/MSSP’leri kullanan küçük işletmelerin bunu hizmet sağlayıcıları için açık bırakması gerekir” dedi. e-posta yoluyla. “Bununla birlikte, bu, PoC kodunun herkese açık olduğu ve yamaların bulunmadığı tüm dünyaların en kötüsü.”
Araştırmacılar, cihazları değiştirmenin kişinin işini tamamen korumak için en iyi eylem şekli olduğunu belirtti.
EoL’de Bile Büyük Etki
Araştırmacılar, cihazların kullanımdan kaldırılmasına rağmen yönlendiricilerin mevcut kurulu tabanının önemli olduğunu belirtti. Güncelliğini yitirmiş donanımların, kesildikten çok sonra iş ortamlarında oyalanması alışılmadık bir durum değildir ve siber saldırganlar için zengin bir oyun alanı sunar.
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, e-posta yoluyla, “Bu güvenlik açıklarından etkilenen Cisco küçük işletme yönlendiricileri, resmi olarak ömürlerinin sonuna gelmiş olsalar da, makul ölçüde yaygın kullanım görüyorlar” dedi. “Zorluk, bu cihazların genellikle sınırlı kaynaklara sahip küçük işletmelerde bulunması veya bunları değiştirecek bütçeye sahip olmayan kişiler tarafından kullanılması olacaktır.”
Ayrıca Bugcrowd’dan Ellis, etkilenenlerin sadece KOBİ’ler olmadığını belirtiyor: “KOBİ yönlendiricileri çok yaygın olarak kullanılıyor ve COVID sonrası hibrit/evden çalışma dünyasında bu yalnızca bir KOBİ sorunu değil. Şubeler, COE’ler ve hatta ev ofisler, savunmasız ürünün potansiyel kullanıcılarıdır.”