Cisco, bu güvenlik açığından aktif olarak yararlanıldığının farkındadır ancak herhangi bir geçici çözüm mevcut değildir.
Cisco, müşterilerini, Cisco IOS XE Yazılımının web kullanıcı arayüzü özelliğinde, saldırganlar tarafından aktif olarak kullanılan, önceden bilinmeyen bir güvenlik açığı konusunda uyardı. Güvenlik açığı, uzaktaki, kimliği doğrulanmamış bir saldırganın, etkilenen bir sistemde ayrıcalık düzeyi 15 erişimi olan bir hesap oluşturmasına olanak tanıyor ve bu da, cihazın tam kontrolünü ele geçirmesine olanak tanıyor.
Güvenlik açığı (CVE-2023-20198), varsayılan olarak gerçekleştirilen web kullanıcı arayüzü özelliği etkinleştirildiğinde Cisco IOS XE Yazılımını etkiler. Cisco, kötüye kullanım riskini azaltmak için müşterilerin internete açık tüm sistemlerde HTTP Sunucusu özelliğini devre dışı bırakmasını önerir.
Güvenlik tavsiyesinde Cisco, şirketin bu güvenlik açığından aktif olarak yararlanıldığının farkında olduğunu ve herhangi bir geçici çözüm bulunmadığını söyledi. Cisco, güvenlik açığını gidermek için bir yazılım yaması üzerinde çalışıyor ancak yayın tarihi henüz açıklanmadı.
San Jose, Kaliforniya merkezli bir güvenlik ve operasyon analitiği SaaS şirketi olan Netenrich’in Baş Tehdit Avcısı John Bambanek, danışma belgesi hakkında yorum yaptı ve şu uyarıda bulundu: “Henüz bir düzeltme ekinin bulunmaması, bu sorunu daha da acil hale getiriyor ve yöneticilerin bu konuyu daha da acil hale getirmesi gerekiyor” Cisco IOS cihazlarının Web Kullanıcı Arayüzünü devre dışı bırakmasını veya yalnızca yetkili kullanıcılarla sınırlı özel yönetim LAN’larından erişilebilir olmasını sağlamak için bu fırsatı değerlendirin.”
Foster City, Kaliforniya merkezli yıkıcı bulut tabanlı BT, güvenlik ve uyumluluk çözümleri sağlayıcısı Qualys Tehdit Araştırması Müdürü Mayuresh Dani, Cisco’nun etkilenen cihazların listesini sağlamadığını vurguladı; bu da herhangi bir anahtar, yönlendirici veya IOS XE çalıştıran ve web kullanıcı arayüzünün internete açık olduğu WLC savunmasızdır.”
Dani, web kullanıcı arayüzleri internete açık olan Cisco cihazlarıyla ilgili istatistikleri açıkladı. Bu bulgular, 40.000’den fazla Cisco cihazının bu kategoriye girdiğini ve çoğunluğunun aktif olarak 80 numaralı bağlantı noktasını dinlediğini gösteriyor.
“Web kullanıcı arayüzüne ve yönetim hizmetlerine genel olarak internete veya güvenilmeyen ağlara maruz kalan cihazlar, ACL’ler veya diğer çözümler aracılığıyla güvenilmeyen ağlara maruz kalmayacak şekilde değiştirilmelidir. 2. Bu cihazlardaki web kullanıcı arayüzü bileşenini devre dışı bırakın,” diye tavsiyede bulundu Dani.
Uzlaşma Göstergeleri
Müşteriler, bir sistemin güvenliğinin ihlal edilip edilmediğini belirlemek için sistem günlüklerini aşağıdaki günlük mesajlarının varlığı açısından kontrol edebilir:
- %SYS-5-CONFIG_P: Çevrimiçi kullanıcı olarak konsoldan SEP_webui_wsma_http işlemiyle program aracılığıyla yapılandırıldı
- %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Giriş Başarısı, 11 Ekim 2023 Çarşamba 03:42:13 UTC
Müşteriler ayrıca implantın varlığını kontrol etmek için aşağıdaki komutu da kullanabilirler:
curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"
İstek onaltılık bir dize döndürürse implant mevcuttur.
Öneriler
Cisco, müşterilerin internete bakan tüm sistemlerde HTTP Sunucusu özelliğini devre dışı bırakmasını şiddetle tavsiye eder. HTTP Sunucusu özelliğini devre dışı bırakmak için no ip http server veya no ip http secure-server genel konfigürasyon modunda komut.
HTTP Sunucusu özelliğini devre dışı bırakamayan müşterilerin bu hizmetlere erişimi güvenilir ağlarla kısıtlaması gerekir.
Cisco ayrıca güvenlik açığını gidermek için bir yazılım yaması üzerinde çalışıyor ve müşterilere yamayı hazır olur olmaz uygulamaları tavsiye ediliyor.
İLGİLİ MAKALELER
- Cisco’nun yeni aracı şifreli trafikteki kötü amaçlı yazılımları tespit edecek
- Yeni 19 CISA Tavsiyesi En İyi ICS Ürünlerindeki Güvenlik Açıklarını Vurguluyor
- Yeni Akira Fidye Yazılımı, İstismar Edilen CISCO VPN’ler Yoluyla İşletmeleri Hedefliyor
- Eski çalışan, Cisco’nun AWS Altyapısını hackledi; silinen sanal makineler
- Yamasız Cisco Catalyst SD-WAN Yönetim Sistemleri DoS Saldırılarına Maruz Kalıyor