Siber Muhbir

Cisco, müşterileri şirketin IOS XE yazılımını etkileyen yeni bir sıfır gün güvenlik açığının cihazları hacklemek için kullanıldığı konusunda uyarıyor.

Kritik güvenlik açığı CVE-2023-20198 olarak izleniyor ve varsayılan görüntüyle birlikte gelen IOS XE web kullanıcı arayüzünü etkileyen bir ayrıcalık yükseltme sorunu olarak tanımlandı. Uzaktaki, kimliği doğrulanmamış bir saldırgan bu güvenlik açığından yararlanarak en yüksek ayrıcalıklara (düzey 15 erişim) sahip bir hesap oluşturabilir ve bunu kullanarak aygıtın denetimini ele geçirebilir.

Tenable'da personel araştırma mühendisi olan Scott Caveza, "Bu erişim düzeyiyle, bir saldırgan ağ yönlendirme kurallarını değiştirebilir ve veri hırsızlığı için saldırgan tarafından kontrol edilen sunuculara erişim için bağlantı noktaları açabilir" diye uyardı. "Saldırgan bu düzeyde bir kontrole sahip olduğunda ve zararsız bir adla bir yönetici hesabı açtığında, etkinliklerinin bir süre fark edilmemesi mümkündür."

Güvenlik açığı, ağdan veya hedeflenen cihaz web'e maruz kalırsa doğrudan internetten kullanılabilir.

Pazartesi günü yayınlanan bir blog gönderisinde Cisco'nun Talos birimi, şirketin 2023 Eylül'de Teknik Yardım Merkezi'nin (TAC) bir müşterinin cihazındaki olağandışı davranışları araştırdığı CVE-20198-28'den yararlanan saldırılardan haberdar olduğunu açıkladı.

Daha fazla analiz, 'cisco_tac_admin' adlı yeni bir kullanıcı hesabının oluşturulmasını içeren kötü amaçlı etkinliğin 18 Eylül gibi erken bir tarihte başladığını gösterdi.

Bu etkinlik 1 Ekim'de sona ermiş gibi görünüyordu, ancak Cisco 12 Ekim'de muhtemelen aynı tehdit aktörü tarafından yürütülen kötü niyetli etkinlikleri tekrar görmeye başladı.

Eylül etkinliği, yeni bir hesap oluşturmanın ötesinde başka eylemler içermese de, Ekim ayında bilgisayar korsanları da bir implant yerleştirdi. Bir konfigürasyon dosyasından oluşan bu implant, saldırganın sistem veya IOS düzeyinde rastgele komutlar yürütmesine izin verir.

İmplant ile etkileşim için yeni bir web sunucusu uç noktası oluşturulması gerekir ve implant yalnızca bu web sunucusu yeniden başlatılırsa etkinleştirilir, bu da Cisco tarafından gözlemlenen tüm durumlarda gerçekleşmez.

Tehdit aktörü, Mart 2021'de Cisco tarafından yamalanan bir IOS XE komut enjeksiyonu güvenlik açığı olan CVE-1435-2021'ten yararlanarak implantı teslim etti. Ancak şirket, implantın CVE-2021-1435'e göre yamalı cihazlara kurulduğunu da gördü ve bu durumda dağıtım mekanizması şu an için bilinmiyor.

Ağ devi ayrıca, implantın kalıcı olmadığını – cihaz yeniden başlatıldığında kaldırıldığını – ancak saldırganlar tarafından oluşturulan hesapların sistem yeniden başlatıldıktan sonra bile kaldığını belirtti.

"Her iki [faaliyet] kümesi birbirine yakın göründü ve Ekim faaliyeti Eylül faaliyetini oluşturuyor gibi görünüyordu. İlk küme muhtemelen aktörün ilk girişimi ve kodlarını test etmesiydi, Ekim etkinliği ise aktörün operasyonlarını implantın konuşlandırılması yoluyla kalıcı erişim sağlamayı içerecek şekilde genişlettiğini gösteriyor gibi görünüyor "dedi.

Şirketin blog yazısı, bu saldırıların arkasında kimin olabileceğini söylemiyor.

Cisco, CVE-2023-20198 için bir yama üzerinde çalışıyor. Kullanılabilir hale gelene kadar satıcı, müşterilerin İnternet'e yönelik sistemlerinde HTTP Sunucusu özelliğini devre dışı bırakmalarını önerir. Şirket ayrıca, kuruluşların cihazlarının saldırıya uğrayıp uğramadığını kontrol etmek için kullanabilecekleri güvenlik ihlali göstergelerinin (IoC'ler) bir listesini de paylaştı.

ABD siber güvenlik ajansı CISA, CVE-2023-20198'i Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu'na ekleyerek devlet kurumlarına 20 Ekim'e kadar risk azaltma önlemleri almaları talimatını verdi.