IOS XE yazılımındaki bir çift sıfır gün kusurundan yararlanılarak Cisco cihazlarına yerleştirilen arka kapı, tehdit aktörü tarafından önceki parmak izi alma yöntemleriyle görünürlüğü ortadan kaldıracak şekilde değiştirildi.
NCC Group’un Fox-IT ekibi, “Ehliyet altındaki bir cihaza giden ağ trafiğinin araştırılması, tehdit aktörünün ekstra başlık kontrolü yapmak için implantı yükselttiğini gösterdi” dedi. “Dolayısıyla, birçok cihaz için implant hala aktif, ancak artık yalnızca doğru Yetkilendirme HTTP başlığı ayarlandığında yanıt veriyor.”
Saldırılar, CVE-2023-20198’in (CVSS puanı: 10,0) ve CVE-2023-20273’ün (CVSS puanı: 7,2) tehdit aktörüne cihazlara erişme, ayrıcalıklı bir hesap oluşturma, ve sonuçta cihazlara Lua tabanlı bir implant yerleştireceğiz.
Gelişme, Cisco’nun sorunları çözmek için güvenlik güncellemeleri yayınlamaya başlamasıyla birlikte geldi ve henüz açıklanmayan bir tarihte daha fazla güncelleme gelecek.
Kampanyanın arkasındaki tehdit aktörünün kesin kimliği şu anda bilinmiyor ancak VulnCheck ve saldırı yüzeyi yönetim şirketi Censys tarafından paylaşılan verilere göre etkilenen cihaz sayısının binlerce olduğu tahmin ediliyor.
Censys Kıdemli Güvenlik Araştırmacısı Mark Ellzey, The Hacker News’e “Enfeksiyonlar toplu saldırılara benziyor” dedi. “Bilgisayar korsanlarının ellerindekileri gözden geçirip herhangi bir şeyin değerli olup olmadığını anlayabilecekleri bir zaman olabilir.”
Ancak güvenliği ihlal edilen cihazların sayısı düştü Son birkaç günde kabaca 40.000’den birkaç yüze düştü ve bu da bazı spekülasyonlara yol açtı. kaputun altındaki değişiklikler varlığını gizlemek için.
Fox-IT tarafından implantta keşfedilen son değişiklikler, ani ve çarpıcı düşüşün nedenini açıklıyor; zira 37.000’den fazla cihazın hâlâ implantla uyumlu olmadığı gözlemlendi.
Cisco ise, cihazlardaki implantın varlığını kontrol etmek için bir iş istasyonundan verilebilecek bir kıvrılma komutunu paylaşarak, güncellenen tavsiyelerindeki davranış değişikliğini doğruladı.
curl -k -H “Yetkilendirme: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb” -X POST “https://systemip/webui/logoutconfirm.html?logon_hash=1”
Cisco, “İstek 0123456789abcdef01 gibi onaltılık bir dize döndürürse implant mevcuttur” dedi.