Cisco, IOS çalıştıran anahtarlar ve yönlendiriciler için acil bir güvenlik önerisi yayınladı Web arayüzündeki bir delik, saldırganların önceden oturum açmadan bir yönetici kullanıcı oluşturmasına ve böylece cihazın kontrolünü ele geçirmesine olanak tanıyor. Bu güvenlik açığı halihazırda saldırganlar tarafından aktif olarak kullanılıyor, ağ yöneticilerinin hızlı hareket etmesi gerekiyor.
Duyuru
Ücretsiz yönetici kullanıcı
Linux tabanlı IOS CVE-2023-20198 olarak adlandırılan güvenlik açığı bu nedenle mümkün olan en yüksek CVSS puanını da alıyor. 10.0 ve bu nedenle temeldir. Cisco, etkilenen işletim sisteminin herhangi bir sürüm numarasını vermediğinden, şu anda tüm IOS-XE cihazlarının bu güvenlik açığından etkilenmiş olması muhtemeldir.
iOS çalıştıran bir cihazın web kullanıcı arayüzüne erişebilen bir saldırgan Bu ayrıcalıklara sahip olan herkes, cihazları yeniden başlatabilir ve herhangi bir yapılandırma değişikliği yapabilir. Bu, davetsiz misafirlerin ağ kesintilerine neden olabileceği, rotaları yeniden yönlendirebileceği veya tüm ağ trafiğini kesip yönlendirebileceği anlamına gelir; bu bir güvenlik felaketidir.
Saldırılar eylül ayından bu yana sürüyor
ABD siber güvenlik düzenleyicisi CISA, güvenlik açığının halihazırda aktif olarak kullanıldığı ve saldırıların halen devam ettiği konusunda uyarıyor. IOS XE cihazlarından sorumlu yöneticilerin mümkün olduğunca çabuk tepki vermesi gerekir. Şu anda herhangi bir yama bulunmadığından Cisco, ilgilenenler için bazı bilgiler yayınladı. Yöneticiler web tabanlı yönetim arayüzünün gerekli olup olmadığını dikkatlice kontrol etmeli ve mümkünse devre dışı bırakmalıdır. Yapabilenler ayrıca bir güvenlik duvarı aracılığıyla web arayüzüne erişimi sınırlandırabilirler.
Güncelleme
17 Ekim 2023
14.41
Saat
Yöneticiler için izinsiz giriş tespit ipuçları
Cisco’nun yan kuruluşu Talos, güvenlik açığı ve etkileri hakkında detaylı bir makale yayınladı. Zaten 18 Eylül’de bir saldırgan IOS-XE cihazını başarıyla ele geçirdi ve Ekim ayında davetsiz misafirler yolun altına Lua dilinde yazılmış bir arka kapı kurmaya başladı. /usr/binos/conf/nginx-conf/cisco_service.conf yüklemek. Bu, bir yapılandırma dosyası görünümüne bürünür ve yasal olmayan kullanıcının aksine, yeniden başlatma işleminden sonra hayatta kalamaz.
Yöneticiler saldırıları tespit etmek için birden fazla göstergeyi izleyebilir. Talos, izinsiz giriş tespiti için Snort kuralları geliştirdi ve ağ yöneticilerine IP adreslerinden erişimi engellemelerini tavsiye ediyor 5.149.249.74 VE 154.53.56.231 Başarılı saldırıların göstergesi olarak (IOC – Uzlaşma Göstergesi). Adlarla kim kullanıcı hesapları cisco_tac_admin VEYA cisco_support ayrıca cihazlarının güvenliğinin ihlal edildiğini de dikkate almalıdırlar.
Kayıt defteri girişleri aşağıdakileri okursa davetsiz misafirleri de gösterebilir:
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename
Cisco şu anda sakinleşemiyor: IOS XE’deki güvenlik açıkları birkaç hafta önce zaten ortaya çıkmıştı; Ağ yöneticileri yaklaşan fazla mesaiden hoşlanmayabilir.
(cku)
Haberin Sonu
Duyuru
Ücretsiz yönetici kullanıcı
Linux tabanlı IOS CVE-2023-20198 olarak adlandırılan güvenlik açığı bu nedenle mümkün olan en yüksek CVSS puanını da alıyor. 10.0 ve bu nedenle temeldir. Cisco, etkilenen işletim sisteminin herhangi bir sürüm numarasını vermediğinden, şu anda tüm IOS-XE cihazlarının bu güvenlik açığından etkilenmiş olması muhtemeldir.
iOS çalıştıran bir cihazın web kullanıcı arayüzüne erişebilen bir saldırgan Bu ayrıcalıklara sahip olan herkes, cihazları yeniden başlatabilir ve herhangi bir yapılandırma değişikliği yapabilir. Bu, davetsiz misafirlerin ağ kesintilerine neden olabileceği, rotaları yeniden yönlendirebileceği veya tüm ağ trafiğini kesip yönlendirebileceği anlamına gelir; bu bir güvenlik felaketidir.
Saldırılar eylül ayından bu yana sürüyor
ABD siber güvenlik düzenleyicisi CISA, güvenlik açığının halihazırda aktif olarak kullanıldığı ve saldırıların halen devam ettiği konusunda uyarıyor. IOS XE cihazlarından sorumlu yöneticilerin mümkün olduğunca çabuk tepki vermesi gerekir. Şu anda herhangi bir yama bulunmadığından Cisco, ilgilenenler için bazı bilgiler yayınladı. Yöneticiler web tabanlı yönetim arayüzünün gerekli olup olmadığını dikkatlice kontrol etmeli ve mümkünse devre dışı bırakmalıdır. Yapabilenler ayrıca bir güvenlik duvarı aracılığıyla web arayüzüne erişimi sınırlandırabilirler.
Güncelleme
17 Ekim 2023
14.41
Saat
Yöneticiler için izinsiz giriş tespit ipuçları
Cisco’nun yan kuruluşu Talos, güvenlik açığı ve etkileri hakkında detaylı bir makale yayınladı. Zaten 18 Eylül’de bir saldırgan IOS-XE cihazını başarıyla ele geçirdi ve Ekim ayında davetsiz misafirler yolun altına Lua dilinde yazılmış bir arka kapı kurmaya başladı. /usr/binos/conf/nginx-conf/cisco_service.conf yüklemek. Bu, bir yapılandırma dosyası görünümüne bürünür ve yasal olmayan kullanıcının aksine, yeniden başlatma işleminden sonra hayatta kalamaz.
Yöneticiler saldırıları tespit etmek için birden fazla göstergeyi izleyebilir. Talos, izinsiz giriş tespiti için Snort kuralları geliştirdi ve ağ yöneticilerine IP adreslerinden erişimi engellemelerini tavsiye ediyor 5.149.249.74 VE 154.53.56.231 Başarılı saldırıların göstergesi olarak (IOC – Uzlaşma Göstergesi). Adlarla kim kullanıcı hesapları cisco_tac_admin VEYA cisco_support ayrıca cihazlarının güvenliğinin ihlal edildiğini de dikkate almalıdırlar.
Kayıt defteri girişleri aşağıdakileri okursa davetsiz misafirleri de gösterebilir:
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename
Cisco şu anda sakinleşemiyor: IOS XE’deki güvenlik açıkları birkaç hafta önce zaten ortaya çıkmıştı; Ağ yöneticileri yaklaşan fazla mesaiden hoşlanmayabilir.
(cku)
Haberin Sonu