Cisco IOS XE Ayrıcalık Yükseltme Güvenlik Açığı

29 Ekim 2023

Cisco, 16 Ekim 2023'te Cisco IOS XE yazılımında bulunan önemli bir güvenlik açığı olan CVE-2023-20198 ile ilgili bir güvenlik duyurusu yayınladı. Bu güvenlik açığı, kimliği doğrulanmamış saldırganların hedef cihazlarda ayrıcalıklı seviye 15 erişimi olan bir hesap oluşturmasına olanak tanır ve vahşi doğada aktif olarak istismar edilir. Saldırganlar, binlerce cihaza erişim sağlamak ve bir arka kapı oluşturmak için bu güvenlik açığından zaten yararlandı. Bu arka kapı ile ilgili etkinlik, daha eski bir güvenlik açığı olan CVE-2021-1435 için mevcut bir algılama kuralı nedeniyle keşfedildi. Cisco Talos ekibi Pazartesi günü şunları söyledi:

"Mevcut tespitlerden yararlanarak, aktörün cihaza erişim sağladıktan sonra implantı yerleştirmek için Cisco'nun 2021'de yamaladığı Cisco'nun CVE-2021-1435'ini kullandığını gözlemledik. Ayrıca, henüz belirlenmemiş bir mekanizma aracılığıyla başarılı bir implanta izin veren CVE-2021-1435 için tamamen yamalanmış cihazlar da gördük." Cisco Talos Ekibi

Cisco IOS XE CVE-2023-20198 Ayrıcalık Yükseltme Güvenlik Açığı

Cisco IOS XE, çeşitli Cisco ürünlerinde çalışan ve ağ yöneticilerine cihazlarını yönetme, yapılandırma ve izleme olanağı sağlayan bir işletim sistemidir. Ancak, Cisco 16 Ekim 2023'te bu önemli yazılımda kritik bir güvenlik açığı olan CVE-2023-20198'i duyurdu. Bu güvenlik açığı, kimliği doğrulanmamış bir saldırganın cihazlarda bir hesap oluşturmasına ve ayrıcalıklarını tam yönetici düzeyine yükseltmesine olanak tanır. Ek olarak, bu güvenlik açığı CVSS puanı 10 (Kritik) olarak derecelendirilmiştir ve dünya çapında çok sayıda cihazı etkilemektedir.

Saldırı Senaryosu ve Etkileri

Siber tehdit aktörleri hedef sistemlere erişim sağlamak için bu güvenlik açığını istismar etti. Saldırganlar bu erişimi başka bir güvenlik açığı olan CVE-2021-1435'i yerleştirmek için kullanıyor. Bu yerleştirme binlerce Cisco cihazına yayılıyor ve Lua programlama dilinde yazılmış, saldırganlara HTTP POST istekleri aracılığıyla keyfi komutlar yürütme yeteneği sağlıyor. Yerleştirme kalıcı değil, ancak saldırganlar önceden oluşturulmuş yönetici hesabını kullanarak yeniden yükleyebilir. Tehdit aktörleri ayrıca izlerini örtmek için günlükleri siliyor ve kullanıcıları kaldırıyor.

Güvenlik Açığının Azaltılması

Cisco, CVE-2023-20198 için bir yama yayınladı ve kuruluşlar güncellemeleri yakından takip etmeli ve bunları güvenlik açığı bulunan IOS XE yazılımlarına mümkün olan en kısa sürede uygulamalıdır.

Ancak bir yama mevcut değilse veya uygulanamıyorsa, kuruluşlar bazı hafifletme önlemleri alabilir:

1. İnternete Bağlı Sistemlerde HTTP/S Sunucu Özelliğini Devre Dışı Bırakın

Bu güvenlik açığı Cisco IOS XE yazılımının webUI özelliğinde mevcuttur. Kuruluşlar, genel erişime açık fiziksel ve sanal cihazlarda HTTP ve HTTPS sunucu özelliklerini geçici olarak devre dışı bırakabilir ve bu da saldırganların bu güvenlik açığından faydalanmasını zorlaştırır.

2. HTTP/S Sunucu Özelliğine Erişimi Kısıtlayın

HTTP ve HTTPS sunucu özelliklerini devre dışı bırakmak pratik değilse, kuruluşlar bu hizmetlere erişimi güvenilir ağlarla sınırlayabilir. Bu, saldırganların bunlara internet üzerinden erişmesini önleyebilir.

3. Bilinmeyen Kullanıcı Hesaplarını Kontrol Edin

Saldırganlar CVE-2023-20198 kullanarak yeni kullanıcı hesapları oluşturur. Güvenlik ekipleri etkilenen ürünlerdeki yerel kullanıcıları kontrol etmeli ve bilinmeyen hesapları belirlemelidir. "cisco_tac_admin", "cisco_support" ve "cisco_sys_manager" gibi kullanıcı adlarına özellikle dikkat edin.

4. İmplantın Varlığını Kontrol Edin

Saldırganlar implantı arka kapı olarak kullanır. İmplantın varlığını tespit etmek için belirli bir komut kullanılabilir. İmplant mevcutsa, komut onaltılık bir dize döndürür:

curl -k -X POST "https://Cisco_Cihaz_IP/webui/logoutconfirm.html?logon_hash=1"

Çözüm

CVE-2023-20198, Cisco IOS XE yazılımını kullanan cihazlar için önemli bir tehdit oluşturmaktadır. Bu makale, güvenlik açığının derinlemesine bir incelemesini sunar ve kuruluşların bu tehdide karşı korunmak için alabileceği önlemleri ana hatlarıyla belirtir. Güncellemeleri takip etmek ve gerektiğinde azaltma önlemlerini uygulamak, kuruluşların bu tür kritik güvenlik açıklarına karşı daha iyi hazırlıklı olmalarına yardımcı olacaktır.

18 Ekim 2023

Cisco 18 Ekim

17 Ekim 2023

Cisco 17 Ekim

Referanslar:

https://en.cyberhat.online/forum/daily-cve-english/security-vulnerabilities-released-16-october-2023
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
https://search.censys.io/search?resource=hosts&sort=RELEVANCE&per_page=25&virtual_hosts=INCLUDE&q=labels%3D%60cisco-xe-webui%60
https://blog.talosintelligence.com/cisco-ios-xe-yaziliminin-etkin-sömürülmesi/

Trending

🛡️ CVE-2025 Emlak Yazılımlarında Güvenlik Açıkları

Critical SQL Injection Vulnerability in UISP Application

Metasploit

Intel® Bug Bounty Program

CyberSpace CTF 2024- Cuma, 30 Ağustos 2024

Securinets CTF Elemeleri 2024 -12 Ekim 2024 Cmt

MiVoice Office 400 SMB Controllerdaki Yeni Güvenlik Açıklıkları

Cisco IOS XE Ayrıcalık Yükselmesi Güvenlik Açığı