Kullanıcılar yamaları beklerken sıfır gün olarak istismar edilen maksimum kritik bir Cisco hatasını içeren uzlaşma destanının en sonuncusunda, birçok güvenlik araştırmacısı, görebilecekleri virüslü Cisco IOS XE sistemlerinin sayısında keskin bir düşüş gözlemlediklerini bildirdi. hafta sonu boyunca.
Düşüş, nedenine dair bir dizi teoriyi ateşledi, ancak 23 Ekim’de Fox-IT’den araştırmacılar gerçek sebebin, saldırganın implantı değiştirmesiyle ilgili olduğunu ve dolayısıyla önceki parmak izi yöntemleriyle artık görülemeyeceğini belirlediler.
Arka plan yoluyla: Açıklardan yararlanma zincirinde kullanılan ana hata, IOS XE’nin Web kullanıcı arayüzünde mevcuttur (CVE-2023-20198). CVSS güvenlik açığı ciddiyet ölçeğinde 10 üzerinden 10’da yer alıyor ve kimliği doğrulanmamış uzak saldırganlara, etkilenen cihazlara ilk erişim elde etmeleri ve bu cihazlarda kalıcı yerel kullanıcı hesapları oluşturmaları için bir yol sunuyor.
Bu istismar yöntemi ayrıca, Cisco’nun yalnızca ilkini araştırırken keşfettiği ikinci bir sıfır günü (CVE-2023-20273) de içerir; bu, saldırganın dosya sistemine kök oluşturma ve dosya sistemine bir implant yazma ayrıcalıklarını yükseltmesine olanak tanır. Cisco, kusurların açıklanmasından birkaç gün sonra, 22 Ekim’de IOS XE’nin güncellenmiş sürümlerini yayınladı ve siber saldırganlara yama yapılmamış sistemlerle mücadele etme fırsatı verdi.
Ele Geçirilen Sistemlerde Ani Düşüş
Ve onların peşinden gittiler. Geçtiğimiz hafta Shodan, Censys ve diğer araçları kullanan güvenlik araştırmacıları, tek bir tehdit aktörünün on binlerce etkilenen Cisco IOS XE cihazına keyfi kod yürütmeye yönelik bir implant bulaştırdığını gözlemlediklerini bildirdi. İmplantlar kalıcı değildir, bu da cihazın yeniden başlatılması durumunda hayatta kalamayacakları anlamına gelir.
Araştırmacıların görebildiği risk altındaki sistemlerin sayısında hafta sonu yaşanan ani ve dramatik düşüş, bazılarının bilinmeyen bir gri şapkalı hacker’ın sessizce gizlenip gizlenmediği konusunda spekülasyon yapmasına neden oldu. saldırganın implantını çıkarmak virüslü sistemlerden. Diğerleri saldırganın başka bir yere taşınıp taşınmadığını merak etti başka bir istismar aşamasıya da bir çeşit şey yapıyordum temizleme işlemi İmplantı gizlemek için. Diğer bir teori ise saldırganın implantı kullanarak implanttan kurtulmak için sistemleri yeniden başlattığı yönündeydi.
Ancak nereye bakılacağını bilirseniz, işletim sisteminde yakın zamanda açıklanan iki sıfır gün hatası nedeniyle yaklaşık 38.000 kişinin tehlikeye girdiği ortaya çıktı.
Değiştirilmiş Cisco İmplantı
“On binlerce Cisco cihazına yerleştirilen implantın, yanıt vermeden önce Yetkilendirme HTTP başlık değerini kontrol edecek şekilde değiştirildiğini gözlemledik.” Fox-IT araştırmacıları X’te şunları söyledi:, eski adı Twitter olan platform. “Bu, son günlerde tespit edilen güvenliği ihlal edilmiş sistemlerin çok tartışılan düşüşünü açıklıyor.”
Fox-IT, ele geçirilen sistemleri aramak için başka bir parmak izi yöntemi kullanarak, saldırganların üzerlerine hâlâ implant yerleştirdiği 37.890 cihazı tespit ettiğini söyledi.
Şirket, güvenliği ihlal edilmiş sistemlerin belirlenmesi için GitHub’daki tavsiyesine işaret ederek, “İnternet’e maruz kalan bir Cisco IOS XE WebUI’ye sahip olan (sahip olan) herkese adli triyaj gerçekleştirmelerini şiddetle tavsiye ediyoruz” diye ekledi.
Geçen hafta binlerce virüslü sistem gördüğünü bildiren VulnCheck araştırmacıları, ele geçirilen cihazların hafta sonu aniden gözden kaybolduğunu fark edenler arasındaydı. Başlangıçta ne olabileceğinden emin olmayanlar arasında yer alan CTO Jacob Baines, Fox-IT’in olanlara ilişkin yaklaşımının doğru olduğunu söylüyor.
Baines, “Hafta sonu boyunca saldırganlar implanta erişim yöntemini değiştirdiler ve eski tarama yöntemi artık kullanılamaz hale geldi” diyor. “Yakın zamanda tarayıcımızı Fox-IT tarafından gösterilen yeni yöntemi kullanacak şekilde değiştirdik ve aslında geçen hafta gördüklerimizi görüyoruz: binlerce implante cihaz.”
Cisco, implantı tespit etmeye yönelik kılavuzunu 23 Ekim’de güncelledi. Dark Reading’e yaptığı açıklamada şirket, risk altındaki sistemlerin tanımlanmasını engelleyen bir implant çeşidini ortaya çıkardıktan sonra yeni risk göstergelerini yayınladığını söyledi. Şirket, “Müşterilerimizi, Cisco’nun güncellenmiş güvenlik danışmanlığında ve Talos blogunda belirtilen kılavuzu uygulamaya ve güvenlik düzeltmesini yüklemeye şiddetle teşvik ediyoruz” dedi.
Şaşırtıcı Siber Saldırgan Motivasyonları
Baines, saldırganın implantı değiştirme motivasyonunun kafa karıştırıcı ve tamamen beklenmedik olduğunu söylüyor. “Normalde bir saldırgan yakalandığında sessizleşir ve ortalık yatıştığında etkilenen sistemleri tekrar ziyaret eder.”
Bu durumda saldırgan, düzinelerce güvenlik şirketinin varlığını bildiği implantlara erişimi sürdürmeye çalışıyor.
Baines, “Bana göre kazanamayacakları bir oyun gibi görünüyor” diyor. “Görünüşe göre bu kullanıcı adı/şifre güncellemesi kısa vadeli bir düzeltme olmalı, böylece sistemlerde birkaç gün daha kalabilirler – ve her türlü hedefe ulaşabilirler – ya da daha gizli bir implant yerleştirene kadar sadece bir geçici çözüm olabilir.”