Biraz zaman aldı, ancak Cisco, şirketin yazılımında bir bilgisayar korsanlığı grubunun aktif olarak istismar ettiği kritik bir kusuru düzeltmek için bir yama yayınlamaya yaklaşıyor.
Şirketin güncellenmiş bir danışma belgesinde, müşterilerin Cisco'nun yamayı 22 Ekim Pazar günü yayınlamasını bekleyebilecekleri belirtildi . Ayrıca satıcı, bilgisayar korsanlarının etkilenen Cisco cihazlarını ele geçirmek için kullandığı ikinci bir kusuru da tespit etti.
Pazartesi günü şirket, kamuoyunu şirketin yönlendiricileri, anahtarları ve kablosuz denetleyici ürünlerinde kullanılan Cisco IOS XE yazılımındaki bir güvenlik açığı olan CVE-2023-20198 hakkında uyardı. Geçen aydan itibaren Cisco, müşteri cihazlarına uzaktan erişim sağlamak için bu kusurdan yararlanan gizemli bir bilgisayar korsanlığı grubu tespit etti.
Cisco başlangıçta CVE-2023-20198'in saldırganların etkilenen cihazda tam sistem ayrıcalıklarına sahip olmasını sağladığını düşünüyordu. Ancak Cuma günkü güncellemede şirket, bilgisayar korsanlarının yalnızca normal erişim için "yerel bir kullanıcı ve şifre kombinasyonu oluşturmasına" izin verdiğini söyledi. Grup, Cisco cihazlarına tam devralma amacıyla root erişimi sağlamak amacıyla CVE-2023-20273 olarak adlandırılan ikinci bir kusuru da kötüye kullanıyor .
Cisco, PCMag'e yaptığı açıklamada, "Artık hem güvenlik açıklarını kapsayan hem de ilk sürümlerin 22 Ekim'den itibaren müşterilere sunulacağını tahmin eden bir düzeltme belirledik" dedi.
Kötü haber ise muhtemelen onbinlerce Cisco cihazının ele geçirilmiş olması. Cuma günü, kar amacı gütmeyen güvenlik grubu Shadowserver, dünya genelinde 37.000'den fazla Cisco cihazının kurcalandığına dair kanıt tespit etti. Bununla birlikte, grup, cihazların yalnızca 19.000'inin benzersiz bir imza içeren kötü amaçlı implantlar taşıdığını ve "bunun, güvenliği ihlal edilen cihazların gerçek miktarının yaklaşık 19 bin olduğunu düşündürebileceğini" ekledi.
Ele geçirme, bilgisayar korsanlığı grubunun ele geçirilen Cisco cihazlarındaki trafiği izlemesine olanak tanıyabilir. Ayrıca, yönlendiricileri güvenliği ihlal edilmiş kişileri, kötü amaçlı yazılım yüklemek veya oturum açma bilgilerini çalmak için tasarlanmış sahte web sayfalarına yönlendirebilirler . Kanıtlar, bilgisayar korsanlarının çoğunlukla telekomünikasyon sağlayıcılarının cihazlarını ele geçirdiğini gösteriyor .
Cisco, yamaları yazılım indirme merkezi aracılığıyla dağıtmayı planlıyor . Bu arada satıcı, müşterilerini cihazlarının ele geçirilip geçirilmediğini kontrol etmeye çağırıyor. Cisco, "HTTP Sunucusu özelliğinin devre dışı bırakılması, bu güvenlik açıklarına yönelik saldırı vektörünü ortadan kaldırır ve etkilenen cihazlar yükseltilene kadar uygun bir hafifletme yöntemi olabilir" diye ekledi. Şirketin mevcut etki azaltma önlemlerini güncellenmiş danışma belgesinde bulabilirsiniz .
