Cisco, 16 Ekim 2023'te Cisco IOS XE yazılımında ortaya çıkan ciddi bir güvenlik açığı olan CVE-2023-20198 hakkında bir güvenlik danışma belgesi yayınladı. Bu açık, kimliği doğrulanmamış saldırganların hedef cihazlarda ayrıcalıklı düzey 15 erişimine sahip bir hesap oluşturmasına olanak tanır ve vahşi ortamda etkin olarak istismar edilmektedir. Saldırganlar bu güvenlik açığından yararlanarak on binlerce cihaza erişim sağlamak ve bir arka kapı kurmak için zaten kullandılar. Bu arka kapı etkinliği, daha eski bir güvenlik açığı olan CVE-2021-1435'e yönelik mevcut bir algılama kuralı nedeniyle bulundu . Cisco Talos ekibi Pazartesi günü şunları söyledi :
"Mevcut tespitlerden yararlanarak, aktörün cihaza erişim sağladıktan sonra implantı kurmak için Cisco'nun 2021'de yama sağladığı CVE-2021-1435'i kullandığını gözlemledik. Ayrıca CVE-2021-1435'e karşı tamamen yama uygulanmış cihazların, henüz belirlenemeyen bir mekanizma aracılığıyla implantın başarılı bir şekilde yerleştirilmesini sağladığını da gördük.“ Cisco Talos ekibi
Cisco IOS XE CVE-2023-20198 Ayrıcalık Yükselmesi Güvenlik Açığı
Cisco IOS XE, birçok Cisco ürününde çalışan bir işletim sistemidir ve ağ yöneticilerine cihazlarını yönetme, yapılandırma ve izleme olanağı sunar. Ancak, 16 Ekim 2023'te Cisco, bu önemli yazılımda ortaya çıkan CVE-2023-20198 güvenlik açığını duyurdu. Bu güvenlik açığı, kimliği doğrulanmamış bir saldırganın cihazlarda bir hesap oluşturmasına ve ayrıcalıklarını tam yönetici düzeyine yükseltmesine olanak tanır. Ayrıca, bu güvenlik açığı CVSS puanı 10 (Kritik) ile derecelendirilmiştir ve dünya çapında birçok cihazı etkilemektedir.
Saldırı Senaryosu ve Etkileri
Siber tehdit aktörleri bu güvenlik açığından yararlanarak hedef sistemlere erişim sağlamıştır. Saldırganlar, bu erişimi kullanarak başka bir güvenlik açığı olan CVE-2021-1435'i kullanarak bir implant yerleştirirler. Bu implant, binlerce Cisco cihazına bulaşır. İmplant, Lua programlama dili kullanılarak yazılmıştır ve saldırganlara HTTP POST istekleri aracılığıyla keyfi komutlar yürütme yetkisi verir. İmplant kalıcı değildir, ancak rakipler daha önce oluşturulan yönetici hesabını kullanarak implantı yeniden kurabilirler. Tehdit aktörleri ayrıca izlerini gizlemek için günlükleri siler ve kullanıcıları kaldırır.
Güvenlik Açığının Azaltılması
Cisco, CVE-2023-20198 güvenlik açığına karşı bir yama yayınlamıştır ve organizasyonların güncellemeleri yakından takip etmeleri ve savunmasız IOS XE yazılımlarını en kısa sürede yamalamaları önemlidir.
Ancak yama mevcut değilse veya uygulanamıyorsa, organizasyonların alabileceği bazı hafifletme önlemleri vardır:
1. İnternete Bakan Sistemlerde HTTP/S Sunucusu Özelliğinin Devre Dışı Bırakılması
Bu güvenlik açığı, Cisco IOS XE yazılımının webUI özelliğinde bulunmaktadır. Organizasyonlar, halka açık fiziksel ve sanal cihazlardaki HTTP ve HTTPS sunucu özelliklerini geçici olarak devre dışı bırakabilirler. Bu, saldırganların bu açığı istismar etmelerini zorlaştırabilir.
2. HTTP/S Sunucusu Özelliğine Erişimi Kısıtlama
Eğer HTTP ve HTTPS sunucu özelliklerini devre dışı bırakmak uygun değilse, organizasyonlar bu hizmetlere erişimi güvenilir ağlarla sınırlayabilirler. Bu, saldırganların internetten erişmelerini engelleyebilir.
3. Bilinmeyen Kullanıcı Hesaplarını Kontrol Etme
Saldırganlar CVE-2023-20198'i kullanarak yeni kullanıcı hesapları oluştururlar. Güvenlik ekipleri, etkilenen ürünlerdeki yerel kullanıcıları kontrol etmeli ve bilinmeyen hesapları tespit etmelidir. Özellikle "cisco_tac_admin," "cisco_support," ve "cisco_sys_manager" kullanıcı adlarına dikkat etmek önemlidir.
4. İmplantın Varlığını Kontrol Etme
Saldırganlar implantı bir arka kapı olarak kullanırlar. İmplantın varlığını tespit etmek için belirli bir komut kullanılabilir. İmplant mevcutsa, bu komut bir onaltılık dize döndürecektir.
curl -k -X POST "https://Cisco_Device_IP/webui/logoutconfirm.html?logon_hash=1"
Sonuç
CVE-2023-20198 güvenlik açığı, Cisco IOS XE yazılımı kullanan cihazlar için ciddi bir tehdit oluşturur. Bu makalede, güvenlik açığının detaylı bir incelemesi yapıldı ve organizasyonların bu tehdide karşı alabileceği önlemler açıklandı. Güncellemeleri takip etmek ve gerekirse hafifletme önlemleri almak, organizasyonların bu tür kritik güvenlik açıklarına karşı daha iyi hazırlıklı olmalarına yardımcı olacaktır.
18 Ekim 2023
17 Ekim 2023
Referanslar
https://en.cyberhat.online/forum/daily-cve-english/security-vulnerabilities-released-16-october-2023
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/