Kötü niyetli bir arka kapı implantı ile saldırıya uğrayan Cisco IOS XE cihazlarının sayısı, gizemli bir şekilde 50.000’den fazla etkilenen cihazdan yalnızca birkaç yüze düştü; araştırmacılar bu keskin düşüşe neyin sebep olduğundan emin değiller.
Bu hafta Cisco, bilgisayar korsanlarının ayrıcalıklı kullanıcı hesapları oluşturmak ve kötü amaçlı bir LUA arka kapı implantı yüklemek üzere 50.000’den fazla Cisco IOS XE cihazını hacklemek için CVE-2023-20198 ve CVE-2023-20273 adlı iki sıfır gün güvenlik açığından yararlandığı konusunda uyardı.
Bu LUA implantı, tehdit aktörlerinin cihazdaki en yüksek ayrıcalık düzeyi olan 15. ayrıcalık düzeyinde komutları uzaktan yürütmesine olanak tanır.
Ancak bu implant kalıcılık içermiyor, bu da yeniden başlatmanın arka kapıyı kaldıracağı anlamına geliyor. Ancak saldırı sırasında oluşturulan yerel kullanıcılar kalacaktır.
Bu haberin yayınlanmasından bu yana, siber güvenlik firmaları ve araştırmacılar, halka açık 80.000 Cisco ISO XE cihazından yaklaşık 60.000’inin bu implantla ihlal edildiğini tespit etti.
Tespit edilen Cisco implantlarında gizemli düşüş
Cumartesi günü, çok sayıda siber güvenlik kuruluşu, kötü amaçlı bir implant içeren Cisco IOS XE cihazlarının sayısının, farklı taramalara bağlı olarak gizemli bir şekilde yaklaşık 60.000 cihazdan yalnızca 100-1.200’e düştüğünü bildirdi.
Onyphe Kurucusu ve CTO’su Patrice Auffret, BleepingComputer’a, saldırıların arkasındaki tehdit aktörlerinin varlıklarını gizlemek için bir güncelleme dağıttıklarına ve böylece implantların artık taramalarda görülmemesine neden olduğuna inandığını söyledi.
“Arka arkaya ikinci gün, implant sayısının kısa sürede büyük ölçüde düştüğünü görüyoruz (ekteki ekran görüntülerine bakın). Temel olarak, neredeyse tamamı yeniden başlatılmış gibi görünüyor (bilinen implant yeniden başlatmadan sağ çıkamadığı için) veya güncellendi.”
“Başından beri orada olmaması gereken bir sorunu çözmeye çalışan asıl tehdit aktörünün eylemi olduğuna inanıyoruz. İmplantın uzaktan tespit edilmesinin bu kadar kolay olması onların açısından bir hataydı.
“Muhtemelen varlıklarını gizlemek için bir güncelleme dağıtıyorlar.”
The Shadowserver Foundation’ın CEO’su Piotr Kijewski de BleepingComputer’a, 21 Eylül’den bu yana implant sayısında keskin bir düşüş gördüklerini, taramalarında kötü amaçlı implantın bulunduğu yalnızca 107 cihazı gördüklerini söyledi.
Kijewski, BleepingComputer’a e-posta yoluyla “İmplant ya çıkarılmış ya da bir şekilde güncellenmiş gibi görünüyor” dedi.
Kaynak: ShadowServer
Diğer bir teori ise gri şapkalı bir bilgisayar korsanının implantı temizlemek için etkilenen Cisco IOS XE cihazlarının yeniden başlatılmasını otomatikleştirmesidir. Benzer bir kampanya 2018’de bir bilgisayar korsanının 100.000 MikroTik yönlendiriciye yama uyguladığını ve böylece kripto korsanlık ve DDoS kampanyaları için kötüye kullanılamayacaklarını iddia ettiğinde görüldü.
Ancak Orange Group’tan Orange Cyberdefense CERT, BleepingComputer’a, implantlardaki azalmanın arkasında gri şapkalı bir hackerın olduğuna inanmadıklarını, bunun yerine bunun yeni bir sömürü aşaması olabileceğine inandıklarını söyledi.
“İmplantı gizlemek için olası bir iz temizleme adımının devam ettiğini lütfen unutmayın (#CVE-2023-20198’in kullanılmasının ardından),” Orange Cyberdefense CERT’i tweetledi.
“WebUI’nizi devre dışı bırakmış olsanız bile, kötü niyetli kullanıcıların eklenmediğinden ve yapılandırmasının değiştirilmediğinden emin olmak için bir araştırma yapmanızı öneririz.”
Tarafından paylaşılan başka bir olasılık güvenlik araştırmacısı Daniel Card implantlarla ihlal edilen birçok cihazın, saldırılarda gerçek hedefleri gizlemeye yönelik bir tuzak olduğudur.
Maalesef şu anda elimizde sadece teoriler var. Cisco veya diğer araştırmacılar daha önce ihlal edilen bir Cisco IOS XE cihazını inceleyerek yeniden başlatılıp başlatılmadığını veya yeni değişiklikler yapılıp yapılmadığını görene kadar ne olduğunu bilmenin hiçbir yolu yok.
BleepingComputer, implantlardaki düşüşle ilgili soruları için Cisco ile temasa geçti ancak şu anda bir yanıt alamadı.