Hackerlar, CVE-2023-20198 olarak izlenen yakın zamanda açıklanan maksimum şiddet güvenlik açığı kullandıktan sonra iOS XE işletim sistemini çalıştıran 40.000'den fazla Cisco cihazı tehlikeye atıldı.
Mevcut bir yama veya geçici çözüm yoktur ve müşterilerin cihazları güvence altına almaları için tek öneri “HTTP sunucusu özelliğini tüm İnternet'e dönük sistemlerde devre dışı bırakmaktır”.
Cisco IOS XE'yi çalıştıran ağ dişlileri kurumsal anahtarlar, endüstriyel yönlendiriciler, erişim noktaları, kablosuz denetleyiciler, toplama ve şube yönlendiricileri içerir.
İhlal edilen Cisco IOS XE cihazlarının ilk tahminleri 10.000 civarındaydı ve güvenlik araştırmacıları interneti daha doğru bir rakam için tararken sayı büyümeye başladı.
Salı günü, kamuya açık web'de maruz kalan hizmetleri ve web uygulamalarını endeksleme için Leakix motoru, yeniden başlatılan sistemleri saymadan yaklaşık 30.000 enfekte cihaz bulduklarını söyledi.
Arama, CISCO'nun maruz kalan bir cihazda CVE-2023-20198'in başarılı bir şekilde kullanılmasını belirlemek için sağladığı uzlaşma göstergelerine (IOCS) dayanıyordu ve ABD, Filipinler ve Şili'de binlerce enfekte konak açığa çıktı.
Cisco'dan aynı doğrulama yöntemini kullanarak, Orange'dan özel sertifika Çarşamba günü yaptığı açıklamada, CVE-2023-20198'den yararlanmanın bir sonucu olarak kötü niyetli bir implant ile 34.500'den fazla Cisco IOS XE IP adresinin olduğunu duyurdu.
Cert Orange ayrıca Cisco IOS XE'yi çalıştıran bir ağ cihazında kötü niyetli bir implantın varlığını taramak için bir Python komut dosyası yayınladı.
18 Ekim'deki bir güncellemede, internet bağlantılı cihazlar için saldırı yüzeyini değerlendirmek için Censys arama platformu, bulunduğu uzlaşmış cihazların sayısının 41.983'e yükseldiğini söyledi.
Genel İnternet üzerinden ulaşılabilecek kesin Cisco IOS XE cihazlarının elde edilmesi zordur, ancak Shodan, çoğu ABD'de 145.000'den fazla ev sahibi gösterir.
Aşağıda, Aves Netsec Cybersecurity Company'nin CEO'su Simo Kohonen'den bir sorgu kullanarak, web kullanıcı arayüzü internet üzerinden erişilebilir olan Cisco cihazları için Shodan sonuçları olan bir ekran görüntüsü var.
Güvenlik araştırmacısı Yutaka Sejiyama ayrıca CVE-2023-20198'e karşı savunmasız Cisco IOS XE cihazları için Shodan'ı aradı ve Web'de maruz kalan 90.000'e yakın ev sahibi buldu.
ABD'de, cihazların çoğu Comcast, Verizon, Cox Communications, Frontier, AT&T, Spirit, CenturyLink, Charter, Cobridge, Windstream ve Google Fiber gibi iletişim sağlayıcılarından.
Sejiyama’nın listesi ayrıca tıp merkezleri, üniversiteler, şerif ofisleri, okul bölgeleri, marketler, bankalar, hastaneler ve çevrimiçi olarak maruz kalan Cisco IOS XE cihazları olan devlet kuruluşlarını da içerir.
Sejiyama, Cisco'nun Web kullanıcı arayüzünü ve yönetim hizmetlerini kamuya açık web'e veya güvenilmeyen ağlara maruz bırakmama tavsiyesini yansıtan BludeingComputer'a verdiği demeçte, "IOS XE oturum açma ekranını internette ortaya çıkarmaya gerek yok." Dedi.
Araştırmacı, "ekipmanı bu şekilde kullanan kuruluşların bu kırılganlık veya ihlalden habersiz olacaklarını" söyleyerek bu uygulamalardaki endişelerini dile getirdi.
Cisco Pazartesi günü CVE-2023-20198 açıkladı, ancak tehdit aktörleri, etkilenen ev sahiplerinde yüksek bir hesap oluşturmak ve cihazın tam kontrolünü almak için sıfır gün olduğu 28 Eylül'den önce bundan yararlanıyorlardı.
Cisco bugün danışmanlığını yeni saldırgan IP adresleri ve kullanıcı adları ve Snort açık kaynaklı ağ saldırı tespit sistemi ve izinsiz giriş önleme sistemi için yeni kurallar ile güncelledi.
Araştırmacılar, bu saldırıların arkasındaki tehdit aktörlerinin, kalıcılığı olmayan ve cihazı yeniden başlattıktan sonra kaldırılan kötü niyetli bir implant kullandığını belirtiyor.
Ancak, yaratılmasına yardımcı olduğu yeni hesaplar aktif olmaya devam ediyor ve “Seviye 15 ayrıcalıklarına sahip, yani cihaza tam yönetici erişimleri var.”
Cisco’nun analizine dayanarak, tehdit oyuncusu cihaz hakkında detaylar toplar ve ön keşif faaliyeti gerçekleştirir. Saldırgan ayrıca günlükleri temizliyor ve muhtemelen etkinliklerini gizlemek için kullanıcıları kaldırıyor.
Araştırmacılar, bu saldırıların arkasında sadece bir tehdit oyuncusu olduğuna, ancak ilk teslimat mekanizmasını belirleyemediğine inanıyorlar.
Cisco, saldırılarla ilgili ek ayrıntıları açıklamamıştır, ancak soruşturmayı tamamladığında ve bir düzeltme olduğunda daha fazla bilgi sunmaya söz vermiştir.
Cisco, fidye yazılımı çeteleri tarafından sömürülen VPN sıfır gününü uyarıyor
Cisco, kötü amaçlı yazılım implantını dağıtmak için yeni iOS XE Zero-Day'i açıklıyor
IOS XE Zero-Day saldırılarında 10.000'den fazla Cisco cihazı hacklendi
Son zamanlarda yamalı Citrix NetScaler Bug, Ağustos ayından bu yana sıfır gün olarak sömürüldü
Cisco, saldırılarda aktif olarak sömürülen yeni ios xe sıfır günleri uyarıyor
Kaynak: Bleeping Computer