Bu kusurlardan yararlanılırsa, saldırganların hassas bilgilere yetkisiz erişim elde etmesine izin verebilir veya genellikle sorunlara neden olabilir.
son haftalarda Cisco ciddi bir güvenlik sorununa bulaştı donanımlı fiziksel ve sanal Cisco cihazlarında kullanılan web arayüzünün uygulanmasında Cisco IOS XE işletim sistemi ile.
Ve Ekim ayının ortasından bu yana, Kritik bir güvenlik açığının tespit edildiği haberi yayınlandı (zaten (CVE-2023-20198) altında kataloglanmıştır; bu, web arayüzünün çalıştığı ağ bağlantı noktasına erişiminiz varsa, kimlik doğrulama olmadan, maksimum ayrıcalık düzeyiyle sisteme tam erişim sağlar.
Bundan bahsediliyor Sorunun tehlikesi ağırlaştı gerçeğinden dolayı Saldırganlar yamalı güvenlik açığını bir aydan fazla süredir kullanıyor yönetici haklarına sahip ek "cisco_tac_admin" ve "cisco_support" hesapları oluşturmak ve cihazda komutları yürütmek için uzaktan erişim sağlayan cihazlara otomatik olarak bir implant yerleştirmek.
Güvenlik açığıyla ilgili sorun, ikinci bir güvenlik açığı oluşturmasıdır (CVE-2023-20273) Cisco IOS XE çalıştıran cihazlara implant yerleştirmek için yapılan saldırıda kullanıldı. Cisco, saldırganların ilk güvenlik açığı CVE-2023-20198'den yararlandıktan sonra avantaj elde ettiğini ve bu güvenlik açığından yararlanma sırasında oluşturulan kök haklarına sahip yeni bir hesabın cihazda rastgele komutlar yürütmek için kullanılmasına izin verdiğini bildirdi.
Güvenlik açığından yararlanıldığı belirtiliyor CVE-2023-20198, bir saldırganın cihaza ayrıcalık düzeyi 15 erişimi elde etmesine olanak tanırDaha sonra bunu yerel bir kullanıcı oluşturmak ve normal kullanıcı erişimiyle oturum açmak için kullanabilirsiniz. Ayrıca bu, istekteki karakterleri "%xx" temsiliyle değiştirerek doğrulamanın atlanmasını mümkün kıldı. Örneğin WMSA (Web Service Management Agent) hizmetine erişmek için erişimi doğrulamadan “webui_wsma_http” işleyicisini çağıran “POST /%2577ebui_wsma_HTTP” isteği gönderebilirsiniz.
Eylül ayındaki vakanın aksine, bu Ekim etkinliği, bir yapılandırma dosyasından ("cisco_service.conf") oluşan, "BadCandy" adını verdiğimiz bir implantın konuşlandırılması da dahil olmak üzere birkaç sonraki eylemi içeriyordu. Yapılandırma dosyası, implantla etkileşimde bulunmak için kullanılan yeni web sunucusu uç noktasını (URI yolu) tanımlar. Bu uç nokta, aşağıda daha ayrıntılı olarak açıklanan ve aktörün sistem düzeyinde veya IOS düzeyinde isteğe bağlı komutlar yürütmesine olanak tanıyan belirli parametreleri alır. İmplantın etkinleştirilmesi için web sunucusunun yeniden başlatılması gerekir; Gözlemlenen en az bir durumda sunucu yeniden başlatılmadı, dolayısıyla implant, kurulmasına rağmen hiçbir zaman etkinleştirilmedi.
BadCandy implantı, onaltılık karakterlerden oluşan iki değişken dize içeren "/usr/binos/conf/nginx-conf/cisco_service.conf" dosya yoluna kaydedilir. İmplant kalıcı değildir; bu, cihazın yeniden başlatılmasının onu kaldıracağı anlamına gelir, ancak yeni oluşturulan yerel kullanıcı hesapları, sistem yeniden başlatıldıktan sonra bile etkin kalır. Yeni kullanıcı hesaplarının 15. düzey ayrıcalıkları vardır; bu, cihaza tam yönetici erişimine sahip oldukları anlamına gelir. Cihazlara bu ayrıcalıklı erişim ve ardından yeni kullanıcıların oluşturulması, CVE-2023-20198 olarak kayıtlıdır.
dava hakkında Cisco güncellenmiş bilgileri yayınlıyor hem gerçekleştirdiği araştırma hem de sunulan güvenlik açıklarının teknik analizleri ve ayrıca bağımsız bir araştırmacı tarafından saldırgan trafiğinin analizine dayanarak hazırlanan bir istismar prototipi hakkında.
Uygun güvenlik düzeyini sağlamak için web arayüzüne erişimin yalnızca seçilen ana bilgisayarlara veya yerel ağa açılması tavsiye edilse de, birçok yönetici küresel ağdan bağlanma seçeneğini bırakıyor. Özellikle Shodan hizmetine göre şu anda küresel ağda kayıtlı 140 binden fazla potansiyel olarak savunmasız cihaz bulunuyor. CERT organizasyonu halihazırda 35 bin civarında Cisco cihazının başarıyla saldırıya uğradığını kaydetti.
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsan not hakkında, orijinal yayına başvurabilirsiniz. aşağıdaki bağlantı.