Ciddi güvenlik açığı, bir bilgisayar korsanının bir cihaz üzerinde tam kontrol sahibi olmasına izin verebilir. Ancak Cisco henüz bunun için bir bilgisayar korsanlığı grubunun devreye girip avantaj elde etmesine olanak tanıyan bir yama yayınlamadı.
Cisco'nun yazılımındaki kritik bir kusur, şirketin ağ cihazlarının toplu olarak kullanılmasının yolunu açtı.
Şirketin, ciddiyet açısından 10 üzerinden 10 puan alan güvenlik açığı konusunda müşterileri uyarmasından bir gün sonra, bilgisayar korsanlarının binlerce Cisco ürününü ele geçirdiği görüldü .
CVE-2023-20198 olarak adlandırılan güvenlik açığı , şirketin yönlendirici, anahtar ve kablosuz denetleyici ürünleri için kullanılan Cisco IOS XE yazılımını içeriyor. Şirket Pazartesi günü yaptığı açıklamada , programlamadaki bir hatanın, bilgisayar korsanının etkilenen Cisco cihazında bir hesap oluşturmasına ve onlara tam sistem ayrıcalıkları vermesine olanak verebileceği konusunda uyardı .
Biraz daha kötü haber olarak Cisco, güvenlik açığını giderecek bir yama yayınlamadı. Bununla birlikte şirket, bilgisayar korsanlarının zaten bu kusurdan yararlandığını belirterek uyarıda bulundu. Şu anda tek önleme önlemi, Cisco yazılımındaki HTTP sunucusu özelliğini devre dışı bırakarak cihazı etkili bir şekilde açık internetten çekmektir.
O tarihten bu yana güvenlik araştırmacıları, internete bağlı on binlerce Cisco cihazının savunmasız olduğu konusunda uyarıyor . Artık birçoğu zaten ele geçirilmiş gibi görünüyor.
Güvenlik sağlayıcısı VulnCheck, Cisco'nun ele geçirilen cihazların bilgisayar korsanlarından komut alacak bir implant içereceğini belirtmesinden bu yana tehdidi takip ediyor. Aynı implant belirli bir HTTP gönderisi aldığında yanıt verecektir. VulnCheck, implanta dokunarak internete bakan "binlerce" Cisco IOS XE cihazının güvenliğinin ihlal edildiğine dair kanıt buldu.
VulnCheck, "IOS XE'deki ayrıcalıklı erişim muhtemelen saldırganların ağ trafiğini izlemesine, korumalı ağlara girmesine ve herhangi bir sayıda ortadaki adam saldırısı gerçekleştirmesine olanak tanıdığından bu kötü bir durum" diye ekledi. Örneğin saldırılar, Cisco yönlendirici kullanıcılarını, kötü amaçlı yazılım dağıtan veya parolaları günlüğe kaydedebilen benzer web sitelerini ziyaret etmeye yönlendirmeyi içerebilir.
Cisco yorum talebine hemen yanıt vermedi. Ancak şirket, ilk kez geçen ay tespit edilen kaçırma olaylarının arkasında yalnızca tek bir bilgisayar korsanlığı grubunun bulunduğunu ileri sürdü. Bu arada güvenlik sağlayıcıları da müşterilerini, etkilenen IOS XE cihazlarını tarayıp ele geçirilip geçirilmediklerini tespit etmeye çağırıyor.
VulnCheck, "Henüz bir yama mevcut olmasa da, web arayüzünü devre dışı bırakarak ve tüm yönetim arayüzlerini internetten derhal kaldırarak kuruluşunuzu koruyabilirsiniz." diye ekledi.
