Kötü niyetli bir arka kapı implantı ile hacklenen Cisco IOS XE cihazlarının sayısı, 50.000'den fazla etkilenen cihazdan sadece birkaç yüze düştü ve araştırmacılar keskin düşüşe neyin neden olduğundan emin değil.
Bu hafta Cisco, bilgisayar korsanlarının, ayrıcalıklı kullanıcı hesapları oluşturmak ve kötü niyetli bir Lua Backdoor implantı kurmak için 50.000'den fazla Cisco IOS XE cihazını hacklemek için iki sıfır günlük güvenlik açığından yararlandığı konusunda uyardı.
Bu LUA implantı, tehdit aktörlerinin cihazdaki en yüksek ayrıcalık seviyesi olan ayrıcalık seviyesinde komutları uzaktan yürütmesine izin verir.
Ancak, bu implant kalıcılık içermez, yani yeniden başlatma arka kapıyı kaldıracaktır. Ancak, saldırı sırasında oluşturulan yerel kullanıcılar kalacaktır.
Bu haberin yayınlanmasından bu yana, siber güvenlik firmaları ve araştırmacılar, bu implant ile ihlal edilecek kamuya açık 80.000 Cisco ISO XE cihazından yaklaşık 60.000'i buldular.
Cumartesi günü, birden fazla siber güvenlik kuruluşu, kötü niyetli bir implantlı Cisco IOS XE cihazlarının sayısının farklı taramalara bağlı olarak gizemli bir şekilde yaklaşık 60.000 cihazdan sadece 100-1.200'e düştüğünü bildirdi.
Onyphe Kurucusu ve CTO Patrice Auffret, BleepingComputer'a saldırıların arkasındaki tehdit aktörlerinin varlığını gizlemek için bir güncelleme yaptığına inandığını ve böylece implantların artık taramalarda görülmemesine neden olduğunu söyledi.
"Üst üste ikinci gün için, implant sayısının kısa sürede büyük ölçüde düştüğünü görüyoruz (ekran görüntülerine bakın). Temel olarak, pratik olarak yeniden başlatılmış gibi görünüyor (bilinen implant yeniden başlatılmadığı için) veya güncellendi. "
Diyerek şöyle devam etti: "Başından beri orada olmaması gereken bir sorunu çözmeye çalışan orijinal tehdit aktörünün eylemi olduğuna inanıyoruz. İmplantın uzaktan tespit edilmesi çok kolay olması, yanlarından bir hataydı.
"Muhtemelen varlıklarını gizlemek için bir güncelleme kullanıyorlar."
The Shadowserver Vakfı'nın CEO'su Piotr Kijewski, BleepingComputer'a 10/21'den beri implantlarda keskin bir düşüş gördüklerini, taramaları sadece kötü niyetli implantlı 107 cihaz gördüklerini söyledi.
Kijewski, E -posta yoluyla BleepingComputer'a verdiği demeçte, "İmplant bir şekilde kaldırılmış veya bir şekilde güncellenmiş gibi görünüyor."
Başka bir teori, bir Grey-Hat hacker'ın implantı temizlemek için etkilenen Cisco IOS XE cihazlarının yeniden başlatılmasını otomatikleştirmesidir. Benzer bir kampanya, bir hacker'ın 100.000 Mikrotik yönlendiricisini yamaladığını iddia ettiği 2018'de görüldü, böylece kriptaj ve DDOS kampanyaları için istismar edilemedi.
Bununla birlikte, Turuncu Grup için Turuncu CyberDefense sertifikası, BleepingComputer'a bir Grey-Hat hacker'ın implantlardaki azalmanın arkasında olduğuna inanmadıklarını, bunun daha ziyade yeni bir sömürü aşaması olabileceğini söyledi.
Tweet Turuncu CyberDefense Cert, "İmplantı gizlemek için potansiyel bir iz temizleme adımının devam ettiğini ( #CVE-2023-20198'in sömürülmesinden sonra)," diye lütfen unutmayın.
"Webui'nizi devre dışı bırakmış olsanız bile, hiçbir kötü amaçlı kullanıcının eklenmediğinden ve yapılandırmasının değiştirilmediğinden emin olmak için bir araştırma yapmanızı öneririz."
Güvenlik araştırmacısı Daniel Card tarafından paylaşılan bir diğer olasılık, implantlarla ihlal edilen birçok cihazın saldırılardaki gerçek hedefleri gizlemek için bir tuzak olmasıdır.
Ne yazık ki, sahip olduğumuz tek şey şu anda teoriler. Cisco veya diğer araştırmacılar daha önce ihlal edilen bir Cisco IOS XE cihazını inceleyip yeni değişiklikler yapılıp yapılmadığını görmek için inceleyene kadar, ne olduğunu bilmenin bir yolu yoktur.
BleepingComputer, implantlardaki düşüşle ilgili sorularla Cisco ile temasa geçti, ancak şu anda bir cevap almadı.
Cisco, kötü amaçlı yazılım implantını dağıtmak için yeni iOS XE Zero-Day'i açıklıyor
IOS XE Zero-Day saldırılarında 10.000'den fazla Cisco cihazı hacklendi
Cisco, saldırılarda aktif olarak sömürülen yeni ios xe sıfır günleri uyarıyor
Sıfır gün kullanılarak arka kapı ile enfekte 40.000'den fazla Cisco IOS XE cihazı
Cisco, yöneticileri saldırılarda kullanılan IOS yazılımı sıfır gününü düzeltmeye çağırıyor
Kaynak: Bleeping Computer