Cisco bugün yöneticileri, IOS XE yazılımında, kimliksiz saldırganların tam yönetici ayrıcalıkları almasını ve etkilenen yönlendiricilerin ve anahtarların uzaktan kontrolünü almasını sağlayan yeni bir maksimum şiddet kimlik doğrulaması atladı.
Şirket, kritik güvenlik açığının (CVE-2023-20198 olarak izlendiğini ve hala bir yama beklediğini), yalnızca HTTP veya HTTPS sunucusu özelliğinin değiştiği Web Kullanıcı Arayüzü (Web UI) özelliğine sahip cihazları etkilediğini söylüyor.
Şirket, "Cisco, internete veya güvenilmeyen ağlara maruz kaldığında Cisco IOS XE yazılımının (CVE-2023-20198) Web kullanıcı arayüzünde (Web UI) özelliğinde daha önce bilinmeyen bir güvenlik açığının aktif olarak kullanılmasını tespit etti."
"Bu güvenlik açığının başarılı bir şekilde kullanılması, bir saldırganın etkilenen cihazda ayrıcalık seviye 15 erişimi ile bir hesap oluşturmasına izin verir, bunlara tehlike altına alınan cihazın tam kontrolünü etkili bir şekilde verir ve olası müteakip yetkisiz faaliyetlere izin verir."
Saldırılar 28 Eylül'de bir müşteri cihazındaki olağandışı davranış raporlarından sonra Cisco Teknik Yardım Merkezi (TAC) tarafından keşfedildi.
Cisco, saldırılarla ilgili daha fazla araştırmanın ardından 18 Eylül'e kadar uzanan ilgili faaliyetleri belirledi. Kötü niyetli etkinlik, şüpheli bir IP adresinden "CISCO_TAC_ADMIN" kullanıcı adı ile yerel bir kullanıcı hesabı oluşturan yetkili bir kullanıcıyı içeriyordu (5.149.249 [.] 74).
Şirket, ikinci bir şüpheli IP adresinden (154.53.56 [.] 231) bir "Cisco_support" yerel kullanıcı hesabının oluşturulduğu 12 Ekim'de CVE-2023-20198 sömürüsüne bağlı ek etkinlik keşfetti. Saldırganlar ayrıca sistem veya iOS düzeylerinde keyfi komutlar yürütmek için CVE-2021-1435 istismarları ve diğer bilinmeyen yöntemler aracılığıyla kötü niyetli bir implant kullandılar.
Cisco, "Bu faaliyet kümelerinin muhtemelen aynı aktör tarafından gerçekleştirildiğini değerlendiriyoruz. Her iki kümenin de birbirine yakın görünmesi, Ekim ayı etkinliği Eylül faaliyetini geliştiriyor gibi görünüyor." Dedi.
"İlk küme muhtemelen aktörün ilk girişimi ve kodlarını test ederken, Ekim ayı aktivitesi, aktörün implantın konuşlandırılması yoluyla kalıcı erişim oluşturmayı içerecek şekilde genişlettiğini gösteriyor gibi görünüyor."
Şirket, yöneticilere, saldırı vektörünü kaldıracak ve gelen saldırıları engelleyecek olan İnternet'e bakan sistemlerde HTTP Sunucusu özelliğini devre dışı bırakmasını tavsiye etti.
Şirket, "Cisco, müşterilerin tüm İnternet'e dönük sistemlerde HTTP Sunucusu özelliğini devre dışı bırakmalarını şiddetle tavsiye ediyor. HTTP Sunucusu özelliğini devre dışı bırakmak için, Global Yapılandırma Modunda IP HTTP sunucusunu veya IP HTTP Güvenli-Server komutunu kullanın." Dedi.
"HTTP Sunucusu özelliğini devre dışı bıraktıktan sonra, çalıştırma konfigürasyonunu kaydetmek için Running-Configuration StartUp-konfigürasyon komutunu kullanın.
Hem HTTP hem de HTTPS sunucuları kullanılıyorsa, her iki komutun da HTTP sunucusu özelliğini devre dışı bırakması gerekir.
Kuruluşların ayrıca, bu tehditle ilişkili kötü niyetli etkinliğin potansiyel göstergeleri olarak açıklanamayan veya yakın zamanda oluşturulan kullanıcı hesaplarını aramaları şiddetle tavsiye edilir.
Meydan okulu Cisco IOS XE cihazlarında kötü niyetli implantın varlığını tespit etmek için bir yaklaşım, cihazda aşağıdaki komutu çalıştırmayı içerir, burada "Cihaz Aygıtının" araştırılan IP adresini temsil ettiği:
Cisco'nun Güvenlik İletişimi Direktörü, "Bir yazılım düzeltmesi sağlamak için kesintisiz çalışıyoruz ve müşterileri güvenlik danışmanında belirtildiği gibi derhal harekete geçmeye şiddetle teşvik ediyoruz." Meredith Corley, BleepingComputer'a bir e -posta açıklamasında söyledi.
Geçen ay, Cisco müşterileri IOS ve IOS XE yazılımında vahşi doğada saldırganların hedeflediği başka bir sıfır günlük güvenlik açığı (CVE-2023-20109) yamaları konusunda uyardı.
GÜNCELLEME: Cisco'dan ifade eklendi.
IOS XE Zero-Day saldırılarında 10.000'den fazla Cisco cihazı hacklendi
Cisco, yöneticileri saldırılarda kullanılan IOS yazılımı sıfır gününü düzeltmeye çağırıyor
Ivanti yeni aktif olarak sömürülen mobileon sıfır gün hatası konusunda uyarıyor
Cisco, fidye yazılımı çeteleri tarafından sömürülen VPN sıfır gününü uyarıyor
Cisco Broadworks Kritik Kimlik Doğrulama Baypası Kusurundan Etkilendi
Kaynak: Bleeping Computer