Cisco, IOS XE yazılımının web kullanıcı arayüzü (UI) özelliğinde yeni keşfedilen sıfır gün özelliğinin, yanlışlıkla halka açık internete veya güvenilmeyen ağlara maruz kaldığında sürekli olarak kullanıldığını gözlemledikten sonra dünya çapındaki kullanıcıları uyardı.
CVE-2023-20198 olarak izlenen sorun, uzaktaki, kimliği doğrulanmamış bir saldırganın, savunmasız bir sistemde mümkün olan en yüksek ayrıcalıklara sahip bir hesap oluşturmasına ve daha sonra etkilenen sistemlerin kontrolünü ele geçirmek için kullanabileceği bir hesap oluşturmasına olanak tanıyor.
Etkilenen müşterilerin tümü, web kullanıcı arayüzü özelliğini ip http sunucusu veya ip http secure-server komutları aracılığıyla etkinleştirmiş olacak ve burada bulunabilecek Cisco tavsiye belgesinde belirtilen talimatları izleyerek durumun bu olup olmadığını belirleyebilecekler. Bu aynı zamanda savunmacıların vurulup vurulmadıklarını belirlemek için inceleyebilecekleri çeşitli uzlaşma göstergelerini (IoC’ler) de ayrıntılarıyla anlatır.
“Cisco, müşterilerin internete bakan tüm sistemlerde HTTP Sunucusu özelliğini devre dışı bırakmasını şiddetle tavsiye ediyor. HTTP Sunucusu özelliğini devre dışı bırakmak için genel yapılandırma modunda no ip http sunucusu veya no ip http secure-server komutunu kullanın. Hem HTTP sunucusu hem de HTTPS sunucusu kullanımdaysa, HTTP Sunucusu özelliğini devre dışı bırakmak için her iki komutun da kullanılması gerekir” dedi Cisco.
Cisco aynı zamanda savunucuların hizmete yönelik erişim kontrollerini kısıtlamasını da tavsiye ediyor, ancak bunu yapmadan önce bunları kapsamlı bir şekilde incelediğinizden emin olun, böylece daha geniş bir hizmet kesintisine neden olmazlar.
Savunmasız web kullanıcı arayüzü özelliği, teknik ekiplerin sistemleri tedarik etmesine, dağıtımı ve yönetilebilirliği basitleştirmesine ve genel kullanıcı deneyimini geliştirmesine olanak sağlamak için tasarlanmış, yerleşik, GUI tabanlı bir sistem yönetim aracıdır. Ayrıca, komut satırı arayüzü (CLI) uzmanlığı olmadan yapılandırmalar oluşturmak ve sistemleri izlemek ve sorunlarını gidermek için de kullanılabilir, ancak hiçbir zaman internete veya güvenilmeyen bir ağa maruz bırakılmamalıdır.
Computer Weekly, Cisco’nun çok sayıda kullanıcıyı etkileyebilecek güvenlik açığına yönelik bir yama üzerinde çalıştığını biliyor. Qualys tehdit araştırması yöneticisi Mayuresh Dani şunları söyledi: “Cisco, etkilenen cihazların listesini sunmadı; bu, IOS XE çalıştıran ve web kullanıcı arayüzünün internete açık olduğu herhangi bir anahtar, yönlendirici veya WLC’nin savunmasız olduğu anlamına geliyor.
“Shodan’ı kullanarak yaptığım aramalara göre, internete açık web kullanıcı arayüzüne sahip yaklaşık 40.000 Cisco cihazı var. Bunların çoğunluğu 80 numaralı bağlantı noktasını dinliyor.
Cisco Talos’taki araştırma ekibi, Cisco’nun Teknik Yardım Merkezi (TAC) ile birlikte konuyu ilk kez 28 Eylül’de ele aldı ve daha ayrıntılı bir araştırma sonrasında CVE-2023-20198’in 10 gün öncesine kadar savunmasız sistemlerde kullanılmış olabileceğini tespit etti. Buna.
Bu örnekte yetkili bir kullanıcı, şüpheli bir IP adresinden ‘cisco_tac_admin’ kullanıcı adı altında yerel bir kullanıcı hesabı oluşturdu.
Talos ve TAC’nin, yetkisiz bir kullanıcının farklı bir şüpheli IP adresinden ‘cisco_support’ adında bir yerel kullanıcı hesabı oluşturduğu yeni bir ilgili etkinlik kümesi gibi görünen şeyi tespit ettiği 12 Ekim tarihine kadar başka bir etkinlik görülmedi.
Bu sefer kullanıcı, muhtemelen uzun yamalı CVE-2021-1435 güvenlik açığı aracılığıyla iletilen bir implant dosyasını dağıtarak birkaç ardışık eylem gerçekleştirdi; bu da kurbanların yamalamaya yeterince dikkat etmediklerini gösteriyor.
İmplant, implantla etkileşimde bulunmak için kullanılan yeni bir web sunucusu uç noktasını (tekdüze kaynak tanımlayıcısı veya URI yolu) tanımlayan bir konfigürasyon dosyası içerir. Uç nokta daha sonra davetsiz misafirin sistem veya IOS düzeyinde isteğe bağlı komutlar yürütmesine olanak tanıyan belirli parametreleri alır.
Bu implantın aktif hale gelmesi için davetsiz misafirin web sunucusunu yeniden başlatması gerekiyor ancak en az bir durumda bu gerçekleşmedi. Talos ayrıca implantın kalıcı olmadığını, yani cihazın yeniden başlatılmasının bu durumu ortadan kaldıracağını, ancak yeni oluşturulan kullanıcı hesaplarının tam yönetici haklarıyla aktif kalacağını, dolayısıyla muhtemelen baştan başlayabileceğini belirtti.
“Bu faaliyet kümelerinin muhtemelen aynı aktör tarafından gerçekleştirildiğini değerlendiriyoruz. Talos araştırma ekibi, her iki kümenin de birbirine yakın göründüğünü ve Ekim faaliyetinin Eylül faaliyetini desteklediğini belirtti.
“İlk küme muhtemelen aktörün ilk girişimi ve kodunu test etmesiydi; Ekim etkinliği ise aktörün, implantın konuşlandırılması yoluyla kalıcı erişim sağlamayı da içerecek şekilde operasyonlarını genişlettiğini gösteriyor.”