Kanada, Avustralya ve Birleşik Krallık’taki siber güvenlik kurumları tarafından yayınlanan ortak bir bildiride, hükümet ve kritik sektörlerdeki BT uzmanları ve yöneticileri, CISCO ASA VPN cihazlarını hedef alan karmaşık siber saldırılara karşı uyarıldı.
Siber Tehdidin Arka Planı
Kanada Siber Güvenlik Merkezi ve uluslararası meslektaşları, 2024’ün başlarından bu yana bir dizi siber saldırıyı izliyor.
Bu olaylar öncelikle CISCO ASA cihazlarını, özellikle de 9.12 ve 9.14 donanım yazılımı sürümlerini çalıştıran ASA55xx serisini etkiledi.
Devlet destekli bir aktörün casusluk çabaları olduğuna inanılan saldırılar, yıkıcı veya yıkıcı bir ağ saldırısına yönelik bir hazırlık belirtisi göstermedi.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Ancak gözlemlenen gelişmişlik düzeyi endişe kaynağıdır.
CVE Ayrıntıları ve Etkisi
CVE-2024-20359
Belirlenen ilk güvenlik açığı CVE-2024-20359’dur ve kalıcı yerel kod yürütülmesine olanak tanır.
Bu kusur, saldırganların etkilenen cihaz yeniden başlatıldıktan sonra bile cihazda varlığını sürdürmesine olanak tanır.
CVE-2024-20353
İkinci güvenlik açığı olan CVE-2024-20353, Cisco Adaptive Security Appliance ve Firepower Threat Defense Software’in web hizmetlerinde hizmet reddine yol açabilir.
Bu güvenlik açığından, işlemleri kesintiye uğratmak ve ağ kaynaklarına erişimi engellemek için yararlanılabilir.
Kötü niyetli aktörler, genellikle İstemcisiz SSLVPN hizmetleriyle ilişkilendirilen WebVPN oturumları aracılığıyla yetkisiz erişim elde etmek için her iki güvenlik açığından da yararlandı.
Ajanslar, olaya dahil olan herhangi bir hacker grubunu açıklamadı ancak yetenekler, iyi kaynaklara sahip ve bilgili bir aktöre işaret ediyor.
Bu güvenlik açıklarından yararlanmak, etkilenen CISCO ASA VPN cihazlarına güvenen kuruluşlar için önemli bir risk oluşturur.
Bu cihazlara yetkisiz erişim, veri ihlallerine, casusluğa ve potansiyel olarak kritik altyapılara yönelik gelecekteki saldırılar için bir dayanak noktası teşkil edebilir.
Azaltma Stratejileri
Bu tehditlere yanıt olarak, danışma belgesi kuruluşları aşağıdakileri yapmaya teşvik etmektedir:
- Bilinmeyen, beklenmeyen veya yetkisiz cihaz erişimi veya değişiklikleri için günlükleri inceleyin.
- Etkilenen cihazları mümkün olan en kısa sürede en son ürün yazılımı sürümlerine güncelleyin.
- Azaltma konusunda ek bilgi ve rehberlik için Cisco Güvenlik Önerileri portalını ve Cisco Talos Blogunu ziyaret edin.
- Etkilenen cihazlara izin verilen ve etkilenen cihazlardan gelen trafiği sınırlamak için ağ bölümlendirmesini ve erişim kontrol listelerini uygulayın.
- VPN’lere erişmek ve yetkisiz erişim riskini azaltmak için çok faktörlü kimlik doğrulamayı kullanın.
Uyarı, kuruluşların karşı karşıya olduğu sürekli mevcut siber tehditlerin ve sağlam siber güvenlik uygulamalarının sürdürülmesinin öneminin bir hatırlatıcısıdır.
Durum geliştikçe ilgili siber güvenlik kurumları tarafından daha fazla güncelleme ve tavsiyelerin yayınlanması bekleniyor.
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo