Yamasız Cisco Sıfır Gün Güvenlik Açığı Doğada Aktif Olarak Hedefleniyor - Dünyadan Güncel Teknoloji Haberleri

Yamasız Cisco Sıfır Gün Güvenlik Açığı Doğada Aktif Olarak Hedefleniyor - Dünyadan Güncel Teknoloji Haberleri

(Hikaye yayınlandıktan sonra Cisco, Censys ve VulnCheck’ten daha fazla bilgi içerecek şekilde güncellendi

Güncelleme

VulnCheck’in yeni bir raporuna göre, tehdit aktörleri CVE-2023-20198’i kullanarak binlerce Cisco IOS XE cihazını tehlikeye attı ve kötü amaçlı implantlar yerleştirdi

Saldırı yüzeyi yönetim firması Censys, kendi analizinde, söz konusu güvenlik ihlali belirtileri gösteren ve arka kapının kurulu olduğu görünen 41 Lütfen şuraya bakın: güvenlik danışmanlığı ve Talos Blog ek ayrıntılar için tarayıcı Etkilenen cihazlardaki implantı tespit etmek için CVE-2021-1435Cisco IOS XE Yazılımının web kullanıcı arayüzünü etkileyen, artık yamalı bir kusur ve sistemin CVE-2021-1435’e karşı tamamen yamalı olduğu durumlarda henüz belirlenemeyen bir mekanizma

“Bu güvenlik açığı uzaktaki, kimliği doğrulanmamış bir saldırganın, etkilenen bir sistemde ayrıcalığa sahip bir hesap oluşturmasına olanak tanır 15 ”

Sorun, Cisco IOS XE yazılımını çalıştıran ve aynı zamanda HTTP veya HTTPS sunucu özelliği etkinleştirilmiş olan hem fiziksel hem de sanal cihazları etkilemektedir belirterek Yönlendirme/anahtarlama cihazlarının “hem sessiz hem de önemli istihbarat kapasitesine erişimin yanı sıra tercih edilen bir ağda yer edinmek isteyen bir düşman için mükemmel bir hedef” olduğu belirtiliyor

12 Ekim 2023’te tespit edilen ikinci bir ilgili etkinlik kümesinde, yetkisiz bir kullanıcı, farklı bir IP adresinden “cisco_support” adı altında bir yerel kullanıcı hesabı oluşturdu Cisco, güvenlik danışmanlığı aracılığıyla araştırmamızın durumu hakkında bir güncelleme sağlayacaktır Bir yazılım düzeltmesi sağlamak için aralıksız çalışıyoruz ve müşterilerimizi, güvenlik danışma belgesinde belirtildiği şekilde derhal harekete geçmeye teşvik ediyoruz

Eksikliğin yalnızca web kullanıcı arayüzü özelliği etkin olan ve internete veya güvenilmeyen ağlara maruz kalan kurumsal ağ donanımlarını etkilediğini belirtmekte fayda var

Bunu, aktörün sistem düzeyinde veya IOS düzeyinde keyfi komutlar yürütmesine olanak tanıyan Lua tabanlı bir implantın konuşlandırılmasıyla sonuçlanan bir dizi eylemin takip ettiği söyleniyor


Cisco, aktif olarak istismar edilen IOS XE yazılımını etkileyen kritik, yama yapılmamış bir güvenlik kusuru konusunda uyardı “Saldırgan daha sonra etkilenen sistemin kontrolünü ele geçirmek için bu hesabı kullanabilir danışma Ve kusuru ekle Bilinen İstismar Edilen Güvenlik Açıklarına (KEV) katalog ” söz konusu

Yorum almak için ulaşıldığında Cisco aşağıdaki açıklamayı The Hacker News ile paylaştı:

Cisco şeffaflığa kendini adamıştır çoğunluğu enfeksiyonlar ABD’de, ardından Filipinler, Meksika, Şili, Hindistan, Peru, Tayland, Brezilya, Singapur ve Avustralya geliyor Kritik güvenlik sorunları ortaya çıktığında bunları birinci öncelik olarak ele alıyoruz, böylece müşterilerimiz sorunları anlıyor ve bunları nasıl çözeceklerini biliyor 983 cihazı tespit etti

Web kullanıcı arayüzü özelliğinden kaynaklanan sıfır gün güvenlik açığı şu şekilde izlenir: CVE-2023-20198 ve CVSS puanlama sisteminde maksimum şiddet derecesi 10,0 olarak belirlenmiştir

Nisan 2023’te Birleşik Krallık ve ABD siber güvenlik ve istihbarat teşkilatları, Cisco ile küresel ağ altyapısını hedef alan devlet destekli kampanyalar konusunda uyarıldı

Düşmanın kesin kökenleri şu anda belirsiz olsa da Cisco, iki grup faaliyeti muhtemelen aynı tehdit aktörüne bağladı )



siber-2

conf” dosya yolu altında kaydedilen arka kapı kalıcı değildir, yani cihazın yeniden başlatılmasından sonra hayatta kalamaz

Bu gelişme, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) bir rapor yayınlamasına yol açtı söz konusu

Cisco, “İmplantın aktif hale gelmesi için web sunucusunun yeniden başlatılması gerekir; gözlemlenen en az bir durumda sunucu yeniden başlatılmadı, dolayısıyla implant, kurulmasına rağmen hiçbir zaman aktif olmadı

İmplantın kurulumu yararlanılarak gerçekleştirilir seviye erişimCisco’nun söz konusu Pazartesi tavsiyesinde Azaltıcı bir önlem olarak, internete bakan sistemlerde HTTP sunucusu özelliğinin devre dışı bırakılması önerilir

Ağ ekipmanı uzmanı, sorunu, 18 Eylül 2023 gibi erken bir tarihte, kimliği belirsiz bir müşteri cihazında, yetkili bir kullanıcının şüpheli bir IP adresinden “cisco_tac_admin” kullanıcı adı altında yerel bir kullanıcı hesabı oluşturduğu kötü amaçlı etkinlik tespit ettikten sonra keşfettiğini söyledi Olağandışı aktivite 1 Ekim 2023’te sona erdi

Şirket, “İlk küme muhtemelen aktörün ilk girişimi ve kodunu test etmesiydi; Ekim faaliyeti ise aktörün, implantın konuşlandırılması yoluyla kalıcı erişim sağlamayı da içerecek şekilde operasyonlarını genişlettiğini gösteriyor gibi görünüyor” dedi Bununla birlikte, oluşturulan hileli ayrıcalıklı hesaplar aktif kalmaya devam ediyor

Güvenlik araştırmacısı Jacob Baines, “IOS XE’deki ayrıcalıklı erişim muhtemelen saldırganların ağ trafiğini izlemesine, korumalı ağlara girmesine ve herhangi bir sayıda ortadaki adam saldırısı gerçekleştirmesine olanak tanıdığından bu kötü bir durum” dedi

“/usr/binos/conf/nginx-conf/cisco_service 16 Ekim’de Cisco, internete veya güvenilmeyen ağlara maruz kaldığında Cisco IOS XE Yazılımının Web Kullanıcı Arayüzü (Web UI) özelliğinde daha önce bilinmeyen bir güvenlik açığını açıklayan bir güvenlik danışma belgesi yayınladı