Cisco, bir saldırganın aktif olarak istismar ettiği, işletim sisteminin Web Kullanıcı Arayüzündeki kritik sıfır gün güvenlik açığına karşı koruma sağlamak için müşterilerinden, İnternet’e bakan tüm IOS XE cihazlarındaki HTTPS Sunucusu özelliğini derhal devre dışı bırakmalarını istiyor.
Cisco IOS XE, Cisco’nun yeni nesil kurumsal ağ donanımı için kullandığı işletim sistemidir.
CVE-2023-20198 olarak atanan kusur, Web UI özelliğinin etkin olduğu tüm Cisco IOS XE cihazlarını etkiliyor. Cisco’nun cihazın tamamen ele geçirilmesine olanak tanıyan bir ayrıcalık yükseltme sorunu olarak tanımladığı kusur için şu anda herhangi bir yama veya başka bir geçici çözüm mevcut değil. Cisco, güvenlik açığına CVSS ölçeğinde 10 üzerinden 10’luk bir olası maksimum önem derecesi atadı.
CVE-2023-20198: Maksimum Önem Derecesi Kusuru
Cisco, 16 Ekim’de yeni sıfır gün hatasıyla ilgili bir danışma belgesinde, “Güvenlik açığı, uzak, kimliği doğrulanmamış bir saldırganın, etkilenen bir sistemde ayrıcalık düzeyi 15 erişimi olan bir hesap oluşturmasına olanak tanıyor.” dedi. “Saldırgan daha sonra etkilenen sistemin kontrolünü ele geçirmek için bu hesabı kullanabilir.” Cisco IOS sistemindeki ayrıcalık düzeyi 15, temel olarak, sistemi yeniden yükleme ve yapılandırma değişiklikleri yapma komutları da dahil olmak üzere tüm komutlara tam erişime sahip olmak anlamına gelir.
Bilinmeyen bir saldırgan, Cisco’ya, İnternet’e bakan IOS XE cihazlarına erişmek ve etkilenen sistemlerde keyfi komut yürütmeyi kolaylaştıran bir Lua dili implantı bırakmak için bu kusurdan yararlanıyor. Tehdit aktörü, implantı düşürmek için Cisco’nun 2021’de yamaladığı, IOS XE’nin Web UI bileşeninde orta şiddette bir komut ekleme güvenlik açığı olan CVE-2021-1435 adlı başka bir kusurdan yararlanıyor. Tehdit aktörü implantı teslim edebildi. Cisco Talos araştırmacıları ayrı bir danışma belgesinde, bunun henüz belirlenemeyen bir mekanizma aracılığıyla CVE-2021-1435’e karşı tamamen yamalanmış cihazlarda bile başarıyla gerçekleştirildiğini söyledi.
Cisco, yeni güvenlik açığından ilk kez 28 Eylül’de bir müşteri cihazında olağandışı davranış içeren bir olaya müdahale ederken haberdar olduğunu söyledi. Şirketin daha sonra yaptığı araştırma, güvenlik açığıyla ilgili kötü niyetli faaliyetlerin aslında 18 Eylül gibi erken bir tarihte başlamış olabileceğini gösterdi. Bu ilk olay, saldırganın bu kusurdan yararlanarak şüpheli bir IP adresinden yönetici ayrıcalıklarına sahip bir yerel kullanıcı hesabı oluşturmasıyla sona erdi.
Kötü Amaçlı Etkinlik Kümesi Cisco Ağını Hedefliyor
12 Ekim’de Cisco’nun Talos Olay Müdahale Ekibi, kusurla ilgili başka bir kötü amaçlı etkinlik kümesini tespit etti. Saldırgan ilk olayda olduğu gibi ilk olarak şüpheli bir IP adresinden yerel kullanıcı hesabı oluşturdu. Ancak bu sefer tehdit aktörü, keyfi komut enjeksiyonu için implantın düşürülmesi de dahil olmak üzere birkaç kötü niyetli eylem daha gerçekleştirdi.
Cisco Talos, “İmplantın faaliyete geçmesi için Web sunucusunun yeniden başlatılması gerekiyor” dedi. Cisco, “Gözlemlenen en az bir durumda sunucu yeniden başlatılmadı, bu nedenle implant, kurulmasına rağmen hiçbir zaman aktif hale gelmedi” dedi. İmplantın kendisi kalıcı değildir; bu, bir kuruluşun cihazı yeniden başlatarak implanttan kurtulabileceği anlamına gelir.
Ancak saldırganların CVE-2023-20198 aracılığıyla oluşturabileceği yerel kullanıcı hesapları kalıcıdır ve saldırganlara, cihaz yeniden başlatıldıktan sonra bile etkilenen sistemlerde yönetici düzeyinde erişimin devam etmesini sağlar. Cisco Talos araştırmacıları, saldırganların bu kusurdan yararlandığına dair potansiyel bir kanıt olarak, kuruluşların IOS XE cihazlarındaki yeni veya açıklanamayan kullanıcıları takip etmelerini istedi. Ayrıca kuruluşların etkilenen herhangi bir cihazda implantın bulunup bulunmadığını belirlemek için kullanabileceği bir komut da sağladılar.
Yönergeyi Derhal Uygulayın
Şirket, “Etkinlikten etkilenebilecek kuruluşların Cisco’nun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT) tavsiye belgesindeki kılavuz taslağını derhal uygulamasını şiddetle tavsiye ediyoruz” dedi. Cisco, yeni kusurla ilgili her iki kötü amaçlı etkinlik kümesinin arkasında aynı tehdit aktörünün olduğunu değerlendirdi.
Cisco IOS XE’nin Web UI bileşeni, yöneticilerin sistemi sağlamasına olanak tanıyan bir sistem yönetimi özelliğidir. Cisco bunu sistem dağıtımını ve yönetilebilirliğini basitleştirmek olarak tanımlıyor. CVE-2023-20198, Cisco’nun son haftalarda aynı özellikte açıkladığı ikinci önemli güvenlik açığıdır. Eylül ayında şirket, bir saldırganın IOS XE cihazlarında seviye 15 ayrıcalıkları elde etmesine de olanak tanıyan bir komut yerleştirme güvenlik açığı olan CVE-2023-20231’i açıkladı.
Cisco’nunkiler gibi ağ teknolojilerindeki sıfır gün hataları ve yönetici düzeyinde ayrıcalıklara olanak tanıyan tüm hatalar, saldırganlar için özellikle değerlidir. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) ve diğer birçok kuruluşun belirttiği gibi, ağ yönlendirici anahtarları, güvenlik duvarları, yük dengeleyiciler ve diğer benzer teknolojiler ideal hedeflerdir çünkü trafiğin çoğunun veya tamamının bunlardan akması gerekir.