Cisco, IOS XE tabanlı ağ cihazlarındaki kritik bir güvenlik açığına karşı uyarıyor

Cisco ekosistemi bir başka ciddi güvenlik açığıyla karşı karşıya. Bu 0 günlük kusur birkaç haftadır aktif olarak istismar ediliyor, bu nedenle müşterilerin ve sistem yöneticilerinin derhal harekete geçmesi çok önemli. Bir yama beklenirken, etkilenen cihazların sayısı şimdiden onbinleri bulmuş olabilir.

Çalışma haftasına başlamanın ne talihsiz bir yolu. Pazartesi günü Cisco, aktif olarak istismar edilen bir güvenlik açığı hakkında yeni bir danışma belgesi yayınladı. CVE-2023-20198 olarak takip edilen hataya CVSS sisteminde maksimum tehdit düzeyi (10.0) atanmıştır ve bu da onu son derece kritik bir güvenlik açığı haline getirmektedir.

CVE-2023-20198 kusuru, Cisco IOS XE ağ işletim sisteminin web kullanıcı arayüzü özelliğinde bulunuyor. HTTP veya HTTPS Sunucusu özelliği etkinleştirildiğinde, Cisco'nun tavsiye belgesi, güvenlik açığının uzak, kimliği doğrulanmamış bir saldırganın, güvenlik açığı bulunan bir cihazda "ayrıcalık düzeyi 15 erişimine" sahip yeni bir kullanıcı hesabı oluşturmasına izin verebileceği konusunda uyarıyor . Bu aslında saldırganın etkilenen sistemin tam kontrolünü kolaylıkla ele geçirebileceği anlamına gelir.

Cisco Talos tehdit istihbarat ekibi tarafından yayınlanan bir tehdit tavsiyesine göre , CVE-2023-20198 güvenlik açığı en az dört haftadır istismar ediliyor. Analistler, bir müşteri cihazında 18 Eylül'e kadar uzanan "olağandışı davranış" keşfettiler. Hata, Cisco IOS XE çalıştıran hem sanal hem de fiziksel cihazları etkiliyor; on binlerce internete bağlı ağ cihazının bu soruna karşı potansiyel olarak savunmasız olması muhtemel (son Shodan tarafından belirtildiği gibi) arama sorguları).

Kötü niyetli bir aktörün yetkili erişim elde etmesinin ardından Cisco Talos, yerel bir kullanıcı hesabı oluşturarak sistemde bir yer edinmeye çalıştıklarını açıklıyor. Bu hesap daha sonra Lua programlama dilini temel alan kötü amaçlı bir komut dosyası yerleştirmek için kullanılabilir ve böylece siber suçlular, web sunucusu her yeniden başlatıldığında sistem düzeyinde kötü amaçlı komutlar çalıştırabilir. Yeniden başlatmanın ardından implant varlığını sürdürmez ancak yeni oluşturulan yerel kullanıcı hesabı etkin kalır.

Cisco, kritik CVE-2023-20198 güvenlik açığından yararlanarak, bilgisayar korsanlarının CVE-2021-1435 olarak takip edilen "orta" bir güvenlik açığını da hedefleyebileceği konusunda uyarıyor. Bu kusur iki yıl önce düzeltilmiş olsa da, tehdit aktörlerinin tamamen yamalı cihazlara sızmayı ve kötü amaçlı yüklerini "belirsiz bir mekanizma" yoluyla yerleştirmeyi başardıkları görülüyor.

Cisco Talos, CVE-2023-20198 tehdidini gidermek için aktif olarak bir yama üzerinde çalışıyor. Bu arada şirket, ağ yöneticilerini, bilinmeyen, yeni oluşturulmuş kullanıcı hesaplarının varlığı gibi tehlike işaretleri açısından Cisco ekipmanlarını kontrol etmeye çağırıyor. Cisco ayrıca standart endüstri operasyonel güvenlik (OPSEC) uygulamalarına uygun olarak, internete bakan sistemlerde HTTP ve HTTPS sunucularının devre dışı bırakılmasını da önerir.