3. Taraf Risk Yönetimi, Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
IOS XE İşletim Sistemindeki İkinci Kusur Binlerce Cisco Kullanıcısını Riske Atıyor
Prajeet Nair (@prajeetspeaks) •
21 Ekim 2023
Tehdit aktörleri, kötü niyetli bir arka kapı yerleştirmek için Cisco’nun IOS XE yazılımındaki başka bir sıfır gün kusurundan yararlanıyor. IOS XE işletim sistemi, yönlendiriciler, anahtarlar, kablosuz denetleyiciler, erişim noktaları ve daha fazlasını içeren çok çeşitli Cisco ağ cihazlarında çalışır.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Cisco tarafından CVE-2023-20273 olarak açıklanan güvenlik açığı, haftanın başında yayınlanan ve CVE-2023-20198 olarak takip edilen, uzak, kimliği doğrulanmamış bir saldırganın etkilenen cihazda bir hesap oluşturmasına ve tam yönetici ayrıcalıklarını elde etmek için bu hesabı kullanın ve sistemin tamamen devralınmasını sağlayın.
Cisco, en son faaliyetin, saldırganın sistem düzeyinde veya IOS düzeyinde keyfi komutlar yürütmesine olanak tanıyan Lua tabanlı bir implantın konuşlandırılmasını içerdiğini söyledi. CVE-2023-20198’in CVSS Puanı 10,0 ve CVE-2023-20273’ün CVSS Puanı 7,2’dir.
Cisco’nun danışma belgesinde, “Saldırgan daha sonra web kullanıcı arayüzü özelliğinin başka bir bileşeninden yararlandı ve yeni yerel kullanıcıyı köklendirme ayrıcalığını yükseltmek ve implantı dosya sistemine yazmak için kullandı.” dedi. “Web kullanıcı arayüzü, sistemi sağlama, sistem dağıtımını ve yönetilebilirliğini basitleştirme ve kullanıcı deneyimini geliştirme yeteneği sağlayan, yerleşik bir GUI tabanlı sistem yönetimi aracıdır.”
San Jose, Kaliforniya merkezli teknoloji devi, bir düzeltme tespit ettiğini ve oluşturma, test etme ve yayınlama sürecini başlattığını ve yazılımın 22 Ekim’de Cisco Yazılım İndirme Merkezi’nde yayınlanmasını beklediğini söyledi.
Bu ayın başlarında Cisco, arayanların konumunu gerçek zamanlı olarak izleyen bir acil durum iletişim sistemini etkileyen kritik bir güvenlik açığına yönelik acil düzeltmeler yayınladı. Bir geliştirici, kimlik bilgilerini yanlışlıkla Cisco Acil Durum Müdahale izleme ve yönlendirme yazılımına sabit kodlayarak potansiyel kimliği doğrulanmamış saldırganlar için kalıcı bir arka kapı açar (bkz.: Cisco Acil Durum Konum İzleyicide Sabit Kodlanmış Kimlik Bilgileri).
Potansiyel kötü amaçlı etkinlik ilk olarak 28 Eylül’de Cisco Teknik Yardım Merkezi’nin arkasındaki ekibin bir müşteri cihazında olağandışı bir davranış tespit etmesiyle ortaya çıktı. Daha ileri araştırmalar, faaliyetin ilk örneğinin 18 Eylül gibi erken bir tarihte ortaya çıktığını ortaya çıkardı.
Savunmasız Ürünler
Web kullanıcı arayüzü özelliği ip http sunucusu veya ip http secure-server komutları aracılığıyla etkinleştirildiğinde güvenlik açıkları Cisco IOS XE Yazılımını etkiler.
Bir sistemin güvenliğinin ihlal edilip edilmediğini belirlemek için Cisco, kullanıcıların cisco_tac_admin, cisco_support veya ağ yöneticisi tarafından bilinmeyen herhangi bir yapılandırılmış yerel kullanıcı olabileceği günlük mesajlarının varlığını anlamak için sistem günlük kontrolleri yapılmasını önerir.
Cisco, “HTTP Sunucusu özelliğinin devre dışı bırakılması, bu güvenlik açıklarına yönelik saldırı vektörünü ortadan kaldırır ve etkilenen cihazlar yükseltilene kadar uygun bir hafifletme yöntemi olabilir” dedi. “Yöneticiler, genel yapılandırma modunda no ip http sunucusu veya no ip http secure-server komutunu kullanarak HTTP Sunucusu özelliğini devre dışı bırakabilir.”
Cisco ayrıca HTTP Sunucusuna erişimin güvenilir ağlarla sınırlandırılmasının bu güvenlik açıklarına maruz kalmayı da sınırlayacağını söyledi.
Tehdit istihbaratı sağlayıcısı Censys, 18 Ekim’de 40.000’den fazla savunmasız cihaz buldu ancak bu sayı 24 saat içinde 36.541’e düştü.