Public Exploit kodu, on binlerce cihazı kesmek için sıfır gün olarak kullanılan CVE-2023-20198 olarak izlenen kritik Cisco IOS XE güvenlik açığı için mevcuttur.
Cisco, iOS XE yazılımının çoğu sürümü için yamalar yayınladı, ancak Binlerce sistemden ödün verilmeye devam ediyor, İnternet taramaları gösteriyor.
Güvenlik değerlendirme hizmetleri sunan bir şirket olan Horizon3.Ai'deki araştırmacılar, bir saldırganın CVE-2023-20198'e karşı savunmasız Cisco IOS XE cihazlarında kimlik doğrulamasını nasıl atlayabileceğine dair ayrıntıları paylaştılar.
Bugün teknik bir raporda, araştırmacılar bilgisayar korsanlarının cihaz üzerinde tam kontrol sağlayan 15 seviye ayrıcalıklarına sahip yeni bir kullanıcı oluşturmak için maksimum ciddiyet güvenlik sorununu nasıl kullanabileceğini gösteriyor.
İstismarın oluşturulması, Secuinfra’nın dijital adli tıp ve olay müdahale etkileşimleri ekibi tarafından kurulan bir honeypottan yakalanan bilgileri kullanılarak mümkün oldu.
Horizon3.AI, bir saldırganın IOSD'deki Web Hizmetleri Yönetim Ajanı (WMSA) hizmetine bir HTTP isteği kodlayabileceğini açıklar - Cisco'nun iOS XE'sinde OpenResty için yapılandırma dosyasını oluşturabilen güçlü bir ikili (Destek LUA PROCTRING ile NGINX tabanlı bir sunucu ) CVE-2023-20198'e karşı savunmasız WebUI hizmeti tarafından kullanılır.
“Bu güvenlik açığının özü, bu talebin ilk satırında /%2577EBUI_WSMA_HTTP. WebUI_WSMA_HTTP'nin bu akıllıca kodlaması, bir önceki yazıda tartışılan Nginx maçlarını atlar ve iOSD'deki WMSA hizmetine ulaşmamıza izin verir ” - Horizon3.ai
WSMA, sistemde tam ayrıcalıklara sahip bir kullanıcının oluşturulmasını sağlayan yapılandırma özelliğine erişim sağlayanlar da dahil olmak üzere, komutların SOAP istekleri aracılığıyla yürütülmesine izin verir.
İstismar kodlarını test ederek, araştırmacılar, cihazın yönetim arayüzünde görünür olan yönetici izinleri (Seviye 15 ayrıcalıkları) içeren yeni bir kullanıcı oluşturabildiler.
Araştırmacılar, bu noktadan itibaren bir saldırganın cihaz üzerinde tam kontrole sahip olduğunu ve başka bir güvenlik açığından yararlanmaya gerek kalmadan diske kötü niyetli implantlar yazabileceğini belirtiyor.
Maruz kalan çevrimiçi hizmetler için bir istihbarat platformu olan Leakix, Secuinfra'nın da gözlemlediği istismarın Cisco IOS XE cihazlarını başarıyla ele geçirebileceğini doğruladı.
Buna ek olarak, Leakix'in Cisco IOS XE Honeypot'ları tehdit aktörleri tarafından uyandı ve araştırmacıların cihazlarda yürütülen komutları görmelerine izin verdi.
BleepingComputer ile paylaşılan oturumun bir PCAP dosyasında, saldırganların aşağıdaki komutları yürüttüğünü görebiliriz:
Bunların hepsi, yüksek değerli hedeflerin keşfedilmesine yol açacak bilgileri toplamak için keşif amacıyla hizmet veren komutlardır.
Cisco, CVE-2023-20198 için güvenlik bültenini 30 Ekim'de güncelledi ve IOS XE için güvenlik açığını ele alan güncellemeleri duyurdu.
Şu anda yazılımın 17.3 sürümü, yeni bir sürüm henüz mevcut olmadığından, güvenlik sorunundan hala etkilenen tek kişidir. Şirket ayrıca yazılım bakım güncellemelerinde (SMU'lar) sorunu ele almıştır.
Yeni yazılım sürümleri şirketin yazılım indirme merkezinden edinilebilir.
Tehdit aktörleri, Cisco'nun 16 Ekim'de açıklamasından önce sıfır gün olduğu zaman CVE-2023-20198'den yararlanmaya başladı.
Bundan on gün sonra, 25 Ekim'de tehdit avı için Censys platformu, tüm dünyaya yayılmış uzlaşma belirtileri gösteren 28.000 Cisco IOS XE'ye ev sahipliği yaptı.
Censys'in bulgularına göre, hacklenen cihazların çoğu, hizmetlerini ülke çapında sunan büyük telekomünikasyonlarda ve internet sağlayıcılarda.
Cisco'dan sonra ilk tahminler, güvenlik açığının kötü niyetli bir implant çalıştıran yaklaşık 10.000 civarında sayıldığını açıkladı.
Hafta sonuna kadar, İnternet taramaları, implantın halka açık Web'de maruz kalan yaklaşık 60.000 Cisco IOS XE cihazında bulunduğunu gösterdi.
Tehdit oyuncusu, yanıt vermeden önce bir yetkilendirme başlığını kontrol etmek için kötü amaçlı kodu değiştirdiğinde, hacklenen cihazların çoğu görünmez hale geldiğinden, sayı kısa bir süre sonra düştü.
Siber güvenlik şirketindeki araştırmacılar Fox-IT, 23 Ekim'de 38.000'e yakın Cisco IOS XE ev sahiplerini ortaya çıkaran değişikliğe ayarlanmış bir tarama yöntemi buldu.
Cisco, 50.000'den fazla cihazı hacklemek için kullanılan sıfır günleri IOS XE sıfır günleri
Hackerlar Enfekte Cihazları gizlemek için Cisco IOS XE Backdoor'u Güncelle
Sıfır gün kullanılarak arka kapı ile enfekte 40.000'den fazla Cisco IOS XE cihazı
Cisco, kötü amaçlı yazılım implantını dağıtmak için yeni iOS XE Zero-Day'i açıklıyor
IOS XE Zero-Day saldırılarında 10.000'den fazla Cisco cihazı hacklendi
Kaynak: Bleeping Computer