Cisco Cihaz Ele Geçirme Olaylarının Arkasındaki Grup, Tespitten Kurtulmak İçin Taktik Değiştiriyor

23.10.2023 23:09:31 Yorum Yok 121 Görüntülenme

On binlerce Cisco cihazını ele geçirmek için yazılımdaki bir güvenlik açığından yararlanan bir bilgisayar korsanlığı grubunun, tespit edilmekten kaçınmak için taktik değiştirdiği görülüyor.

Bilgisayar korsanlarının, şirketin yönlendiricilerde, anahtarlarda ve kablosuz denetleyicilerde kullanılan IOS XE yazılımındaki bir kusur nedeniyle en son 40.000'e kadar Cisco cihazını ele geçirdiği tespit edildi. Ardından, geçen hafta sonu Cisco'nun tehdide karşı bir yama   yayınlamasıyla ele geçirilen cihazların sayısı gizemli bir şekilde düşmeye başladı .

Düşen enfeksiyon sayıları başlangıçta Cisco müşterilerinin güvenlik açığını ortadan kaldırmak için hızlı hareket ettiklerini gösteriyordu. Ancak şimdi, bilgisayar korsanlığı grubunun yalnızca hangi Cisco cihazlarının ele geçirildiğini daha iyi gizlemek için tekniklerini güncellediğini gösteren kanıtlar ortaya çıkıyor. 

Etkilenen cihazların güvenliğini aşmak için bilgisayar korsanları, virüslü donanım üzerinde daha fazla komut alabilen ve çalıştırabilen bir implant yerleştiriyor. Cisco başlangıçta, ele geçirilen cihazların belirli bir HTTP POST  alırken 18 karakterlik onaltılık sayıyla yanıt vereceğini ve bu sayede şirketlere olası bir güvenlik açığını taramak için kolay bir yol sağladığını buldu .

Ancak şimdi siber güvenlik sağlayıcısı Fox IT şunları bildiriyor : “Tehdit aktörü, ekstra başlık kontrolü yapmak için implantı yükseltti. Bu nedenle, birçok cihaz için implant hala aktif durumda ancak artık yalnızca doğru yetkilendirme HTTP başlığı ayarlandığında yanıt veriyor." Değişiklik, şirketlerin ele geçirilen bir cihazı tespit edebilmelerinin orijinal yolunu ortadan kaldırdı. 

Fox IT, "Bu, son günlerde tespit edilen güvenliği ihlal edilmiş sistemlerde çok tartışılan düşüşü açıklıyor" diye ekledi. İyi haber şu ki Fox IT, şirketin GitHub sayfasına yüklediği hacker implantını tespit etmenin ek bir yolunu bulduğunu söylüyor . Şirket, "Fox-IT, farklı bir parmak izi yöntemi kullanarak güvenliği ihlal edilmiş 37890 Cisco cihazını tespit ediyor" diye uyarıyor .  

Cisco ayrıca etkilenen müşterilerin tehdidi ortadan kaldırmak için şirketin yamasını indirebileceğini de söyledi. Ancak şimdilik yama yalnızca IOS XE'nin 17.9 sürümündeki kullanıcılar için mevcut . IOS XE 17.6, 17.3 ve 16.12 için yamalar hâlâ çıkacak. Bu arada müşteriler olası saldırıları önlemek için cihazlardaki HTTP Sunucusu özelliğini devre dışı bırakabilirler.

Cisco, "İmplant kalıcı değil, yani cihazın yeniden başlatılması onu kaldıracaktır, ancak yeni oluşturulan (hacker kontrollü) yerel kullanıcı hesapları, sistem yeniden başlatıldıktan sonra bile aktif kalır." diye ekledi .   

    Güncel Olay ve Teknoloji, Sağlık, Sosyal Medya, Son Dakika Haberleri

    Bloog.com.tr Dünya'dan ve Türkiye'den Teknoloji, Sağlık, Sosyal Medya, Son Dakika Haberleri yayınlamaktadır.

    © Copyright 2023 Güncel Olay ve Teknoloji, Sağlık, Sosyal Medya, Son Dakika Haberleri. All Rights Reserved.