Siber Saldırganlar, Güvenliği Tehlikeye Giren 30K Cisco IOS XE Cihazlarındaki İmplantı Değiştiriyor - Dünyadan Güncel Teknoloji Haberleri

Siber Saldırganlar, Güvenliği Tehlikeye Giren 30K Cisco IOS XE Cihazlarındaki İmplantı Değiştiriyor - Dünyadan Güncel Teknoloji Haberleri

Araştırmacılar VulnCheck Geçen hafta binlerce virüslü sistem gördüğünü bildiren kişiler, ele geçirilen cihazların hafta sonu aniden gözden kaybolduğunu fark edenler arasındaydı

Araştırmacıların görebildiği risk altındaki sistemlerin sayısında hafta sonu yaşanan ani ve dramatik düşüş, bazılarının bilinmeyen bir gri şapkalı hacker’ın sessizce gizlenip gizlenmediği konusunda spekülasyon yapmasına neden oldu hafta sonu boyunca Başlangıçta ne olabileceğinden emin olmayanlar arasında yer alan CTO Jacob Baines, Fox-IT’in olanlara ilişkin yaklaşımının doğru olduğunu söylüyor

Bu istismar yöntemi ayrıca, Cisco’nun yalnızca ilkini araştırırken keşfettiği ikinci bir sıfır günü (CVE-2023-20273) de içerir; bu, saldırganın dosya sistemine kök oluşturma ve dosya sistemine bir implant yazma ayrıcalıklarını yükseltmesine olanak tanır Cisco piyasaya sürüldü IOS XE’nin güncellenmiş sürümleri Kusurların ifşa edilmesinden günler sonra, 22 Ekim’de ele alınması, siber saldırganlara bir sürü yama yapılmamış sistemin peşine düşme fırsatı veriyor ”

Cisco rehberini güncelledi Dark Reading’e yaptığı açıklamada şirket, risk altındaki sistemlerin tanımlanmasını engelleyen bir implant çeşidini ortaya çıkardıktan sonra yeni risk göstergelerini yayınladığını söyledi ”





siber-1

Şirket, “İnternet’e maruz kalan bir Cisco IOS XE WebUI’ye sahip olan (sahip olan) herkese adli triyaj gerçekleştirmelerini şiddetle tavsiye ediyoruz” diye ekledi İmplantlar kalıcı değildir, bu da cihazın yeniden başlatılması durumunda hayatta kalamayacakları anlamına gelir “Normalde bir saldırgan yakalandığında sessizleşir ve ortalık yatıştığında etkilenen sistemleri yeniden ziyaret eder Diğerleri saldırganın başka bir yere taşınıp taşınmadığını merak etti başka bir istismar aşamasıya da bir çeşit şey yapıyordum temizleme işlemi İmplantı gizlemek için

Baines, “Bana göre kazanamayacakları bir oyun gibi görünüyor” diyor

Değiştirilmiş Cisco İmplantı

“On binlerce Cisco cihazına yerleştirilen implantın, yanıt vermeden önce Yetkilendirme HTTP başlık değerini kontrol edecek şekilde değiştirildiğini gözlemledik



Kullanıcılar yamaları beklerken sıfır gün olarak istismar edilen maksimum kritik bir Cisco hatasını içeren uzlaşma destanının en sonuncusunda, birçok güvenlik araştırmacısı, görebilecekleri virüslü Cisco IOS XE sistemlerinin sayısında keskin bir düşüş gözlemlediklerini bildirdi

Düşüş, nedenine dair bir dizi teoriyi ateşledi, ancak 23 Ekim’de Fox-IT’den araştırmacılar gerçek sebebin, saldırganın implantı değiştirmesiyle ilgili olduğunu ve dolayısıyla önceki parmak izi yöntemleriyle artık görülemeyeceğini belirlediler 000 kişinin tehlikeye girdiği ortaya çıktı “Bu, son günlerde tespit edilen güvenliği ihlal edilmiş sistemlerin çok tartışılan düşüşünü açıklıyor

Ele Geçirilen Sistemlerde Ani Düşüş

Ve onların peşinden gittiler

Şaşırtıcı Siber Saldırgan Motivasyonları

Baines, saldırganın implantı değiştirme motivasyonunun kafa karıştırıcı ve tamamen beklenmedik olduğunu söylüyor CVSS güvenlik açığı ciddiyet ölçeğinde 10 üzerinden 10’da yer alıyor ve kimliği doğrulanmamış uzak saldırganlara, etkilenen cihazlara ilk erişim elde etmeleri ve bu cihazlarda kalıcı yerel kullanıcı hesapları oluşturmaları için bir yol sunuyor ” Fox-IT araştırmacıları X’te şunları söyledi:, eski adı Twitter olan platform Şirket, “Müşterilerimizi, Cisco’nun güncellenmiş güvenlik danışmanlığında ve Talos blogunda belirtilen kılavuzu uygulamaya ve güvenlik düzeltmesini yüklemeye şiddetle teşvik ediyoruz” dedi ”

Bu durumda saldırgan, düzinelerce güvenlik şirketinin varlığını bildiği implantlara erişimi sürdürmeye çalışıyor “Görünüşe göre bu kullanıcı adı/şifre güncellemesi kısa vadeli bir düzeltme olmalı, böylece sistemlerde birkaç gün daha kalabilirler – ve her türlü hedefe ulaşabilirler – ya da daha gizli bir implant yerleştirene kadar sadece bir geçici çözüm olabilir saldırganın implantını çıkarmak virüslü sistemlerden Diğer bir teori ise saldırganın implantı kullanarak implanttan kurtulmak için sistemleri yeniden başlattığı yönündeydi

Arka plan yoluyla: Açıklardan yararlanma zincirinde kullanılan ana hata, IOS XE’nin Web kullanıcı arayüzünde mevcuttur (CVE-2023-20198)

Ancak nereye bakılacağını bilirseniz, işletim sisteminde yakın zamanda açıklanan iki sıfır gün hatası nedeniyle yaklaşık 38 “Yakın zamanda tarayıcımızı Fox-IT tarafından gösterilen yeni yöntemi kullanacak şekilde değiştirdik ve aslında geçen hafta gördüklerimizi görüyoruz: binlerce implante cihaz 890 cihazı tespit ettiğini söyledi

Baines, “Hafta sonu boyunca saldırganlar implanta erişim yöntemini değiştirdiler ve eski tarama yöntemi artık kullanılamaz hale geldi” diyor ”

Fox-IT, ele geçirilen sistemleri aramak için başka bir parmak izi yöntemi kullanarak, saldırganların üzerlerine hâlâ implant yerleştirdiği 37 Geçtiğimiz hafta Shodan, Censys ve diğer araçları kullanan güvenlik araştırmacıları, tek bir tehdit aktörünün on binlerce etkilenen Cisco IOS XE cihazına keyfi kod yürütmeye yönelik bir implant bulaştırdığını gözlemlediklerini bildirdi GitHub hakkında tavsiye Güvenliği ihlal edilmiş sistemleri tanımlamak için