Saldırıya Uğrayan Cisco IOS XE Cihazlarının Sayısı Beklenmedik Bir Şekilde Düştü


Yönetişim ve Risk Yönetimi, Yama Yönetimi

60.000’den 1.200’e: Araştırmacılar Saldırganların Gizlenmiş Enfeksiyonlara Sahip Olabildiği Uyardı

Mathew J. Schwartz (euroinfosec) •
23 Ekim 2023

Saldırıya Uğrayan Cisco IOS XE Cihazlarının Sayısı Beklenmedik Bir Şekilde Düştü
Resim: Shutterstock

Cisco, paket iten devin her yerde bulunan ağ cihazlarının altında yatan, IOS XE işletim sisteminde aktif olarak kullanılan iki sıfır gün güvenlik açığı için yamalar yayınladı. Güvenlik araştırmacıları, güvenlik açıkları kullanılarak saldırıya uğrayan ana bilgisayar sayısının aniden 36.541’den 1.200’e düştüğü konusunda uyarıyor.

Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu

Düşüşün nedeni açık olmasa da, saldırganların kalıcı, uzaktan erişim sağlayan kötü amaçlı bir web kabuğu bulaştırdıkları cihazlara erişimlerini koruyarak izlerini gizlemiş olabilecekleri endişelerden biridir (bkz: Saldırganlar Kötü Amaçlı Arka Kapıyla Cisco Zero-Day’i İstismar Ediyor).

Cisco Talos tehdit istihbarat grubu tarafından detaylandırılan bir uzlaşma göstergesi kullanarak virüs bulaşmış ana bilgisayarların sayısını takip eden araştırmacılar, saldırganların Salı günü çabalarını yoğunlaştırdıklarını söyledi. İşte o zaman grup, Cisco ISO XE çalıştıran ve arka kapıdan etkilendiğine dair işaretler gösteren kusura karşı savunmasız olan internete bağlı yaklaşık 80.000 cihazın oranında keskin bir artış gördü.

Çarşamba günü siber güvenlik firması Censys, enfeksiyon sayısının 34.140’tan 41.983’e yükseldiğini, Perşembe günü ise 36.541’e düştüğünü bildirdi. Reddi, yöneticilerin cihazlarının HTTP arayüzünü devre dışı bırakmasına (Cisco tarafından önerilen ve cihazı artık uzaktan erişilemez hale getiren bir hafifletme yöntemi) veya cihazları çevrimdışına almalarına veya yapılandırmalarını başka bir şekilde değiştirmelerine bağladı. Censys, bulduğu virüslü sistemlerin çoğunun, özellikle ABD ve Filipinler merkezli “hem hanelere hem de işyerlerine internet hizmetleri sunan telekomünikasyon şirketlerine” dayandığını söyledi.

Cumartesi günü, kötü amaçlı web kabuğunun bulaştığına dair işaretler gösteren ana bilgisayarların sayısı aniden 1.200’e düşerken, ISO XE çalıştıran internete bağlı cihazların sayısı son günlerde 60.000 civarında sabit kaldı. rapor edildi Siber güvenlik firması Onyphe’deki araştırmacılar.

Düşüşün nedeni net değil. Onyphe araştırmacıları, hipotezlerinin, güvenliği ihlal edilmiş yaklaşık 36.500 ana bilgisayarın güvenliğinin ihlal edildiğini ancak saldırganların uzlaşma göstergelerini maskelediğini söyledi. Saldırganların “başka bir sömürü aşamasına” ilerlemiş olabileceğini de söylediler. Bu, kurbanların ağlarında yanal olarak hareket etmelerini ve kalıcı, uzaktan erişim sağlamak için daha fazla kötü amaçlı yazılım bırakmalarını içerebilir.

Diğer güvenlik araştırmacıları da bunu olası bir senaryo olarak görüyor. “Dürüst olalım: 20.000-40.000 cihazı bombalarsanız, öldürme zinciriniz neden o cihazda dursun?” olarak bilinen güvenlik araştırmacısı dedi ki Daniel C.

Cisco IOS XE Kusurları

Cisco, bu saldırılarla ilgili ilk uyarısını 16 Ekim’de yayınlayarak, saldırganların Cisco IOS XE Yazılımı Web Yönetimi Kullanıcı Arayüzündeki CVE-2023-20198 olarak adlandırılan sıfır gün güvenlik açığından yararlandığına dair uyarıda bulundu. Yazılım, yönlendiriciler, anahtarlar, kablosuz denetleyiciler, erişim noktaları ve daha fazlasını içeren çok sayıda Cisco ürününü çalıştırmak için kullanılır.

Cuma günü Cisco, saldırganlar tarafından kullanılan CVE-2023-20273 adlı ikinci bir güvenlik açığını tespit ettiğini söyledi.

Pazar günü Cisco, yönlendirme/SD-WAN ve IOT ürünleri için güvenlik açıklarını yamalayan Cisco IOS XE’nin 17.9.4a sürümünü yayınladı. Şirket, anahtarlama, kablosuz ve SP erişimi ve ön toplama yönlendirici ürünleri için yazılımının bu sürümünü Pazartesi günü yayınlamayı planladığını söyledi.

Teknoloji devi, Cisco IOS XE’nin daha eski ancak hala desteklenen sürümleri için ise hâlâ yamalı sürümler geliştirdiğini söyledi. Cisco, yalnızca bazı anahtarlama ürünlerinde kullanılacak olan Cisco IOS XE 17.6.6a, 17.3.8a ve 16.12.10a sürümlerini içerecek olan bu güncellemeleri ne zaman yayınlamayı planladığını henüz söylemedi.

Cisco, saldırganların şu iki IOS XE Yazılım Web Kullanıcı Arayüzü Özelliği güvenlik açığından yararlanarak cihazlara kötü amaçlı yazılım yerleştirdiğini söyledi:

  • CVE-2023-20198: ABD Ulusal Güvenlik Açığı Veri Tabanı, CVSS puanı 10,0 olan ayrıcalık yükseltme güvenlik açığının “uzaktaki, kimliği doğrulanmamış bir saldırganın, etkilenen bir sistemde ayrıcalık düzeyi 15 erişime sahip bir hesap oluşturmasına izin verdiğini” bildiriyor; bu, ABD’deki en yüksek ayrıcalık düzeyidir. IOSXE yazılımı. “Saldırgan daha sonra etkilenen sistemin kontrolünü ele geçirmek için bu hesabı kullanabilir” ve normal erişime sahip bir kullanıcı olarak oturum açabilir” dedi.
  • CVE-2023-20273: Saldırının bir sonraki bölümünde Cisco şunları söyledi: “Saldırgan daha sonra web kullanıcı arayüzü özelliğinin başka bir bileşeninden yararlandı ve yeni yerel kullanıcıdan ayrıcalıkları yükseltmek için yararlandı. root ve implantı dosya sistemine yazın.” Cisco, bu güvenlik açığının CVSS puanının 7,2 olduğunu söyledi.

Cisco Talos, güvenlik açığı bulunan ürünleri kullanan tüm müşterilerin, sistem günlüklerini, bilinmeyen kullanıcı adlarını da içerebilecek güvenlik ihlali işaretleri açısından incelemelerini önerir. cisco_tac_admin Ve cisco_supportyanı sıra bilinmeyen dosya adları.

Saldırganların kitlesel sömürü kampanyalarını başlattıklarından beri izlerini silmeye çalıştıkları görülüyor. Cisco Talos tarafından araştırılan saldırılarda yanıt verenler, saldırganların Cisco ISO XE çalıştıran bir cihaza erişim sağlamak için kusurlardan yararlanmasının ardından “tehdit aktörünün cihaz hakkında bilgi topladığını ve ön keşif yaptığını gözlemledik” dedi. “Ayrıca saldırganın, etkinliklerine dair kanıtları gizlemek amacıyla günlükleri temizlediğini ve kullanıcıları kaldırdığını da gözlemledik.”

Cisco Talos, aynı saldırgan grubunun 18 Eylül’de güvenlik açıklarını test etmeye başladığını ve saldırılarını 12 Ekim civarında geniş ölçekte başlatarak, Lua programlama dilinde yazılmış özel yapım arka kapı implantlarıyla cihazlara bulaştığını bildirdi.





Source link