Siber Saldırganlar, Güvenliği Tehlikeye Giren 30K Cisco IOS XE Cihazlarındaki İmplantı Değiştiriyor - Dünyadan Güncel Teknoloji Haberleri

Siber Saldırganlar, Güvenliği Tehlikeye Giren 30K Cisco IOS XE Cihazlarındaki İmplantı Değiştiriyor - Dünyadan Güncel Teknoloji Haberleri

Baines, “Bana göre kazanamayacakları bir oyun gibi görünüyor” diyor



Kullanıcılar yamaları beklerken sıfır gün olarak istismar edilen maksimum kritik bir Cisco hatasını içeren uzlaşma destanının en sonuncusunda, birçok güvenlik araştırmacısı, görebilecekleri virüslü Cisco IOS XE sistemlerinin sayısında keskin bir düşüş gözlemlediklerini bildirdi

Araştırmacılar VulnCheck Geçen hafta binlerce virüslü sistem gördüğünü bildiren kişiler, ele geçirilen cihazların hafta sonu aniden gözden kaybolduğunu fark edenler arasındaydı ” Fox-IT araştırmacıları X’te şunları söyledi:, eski adı Twitter olan platform Cisco piyasaya sürüldü IOS XE’nin güncellenmiş sürümleri Kusurların ifşa edilmesinden günler sonra, 22 Ekim’de ele alınması, siber saldırganlara bir sürü yama yapılmamış sistemin peşine düşme fırsatı veriyor

Şaşırtıcı Siber Saldırgan Motivasyonları

Baines, saldırganın implantı değiştirme motivasyonunun kafa karıştırıcı ve tamamen beklenmedik olduğunu söylüyor GitHub hakkında tavsiye Güvenliği ihlal edilmiş sistemleri tanımlamak için

Ele Geçirilen Sistemlerde Ani Düşüş

Ve onların peşinden gittiler 000 kişinin tehlikeye girdiği ortaya çıktı “Yakın zamanda tarayıcımızı Fox-IT tarafından gösterilen yeni yöntemi kullanacak şekilde değiştirdik ve aslında geçen hafta gördüklerimizi görüyoruz: binlerce implante cihaz

Baines, “Hafta sonu boyunca saldırganlar implanta erişim yöntemini değiştirdiler ve eski tarama yöntemi artık kullanılamaz hale geldi” diyor

Değiştirilmiş Cisco İmplantı

“On binlerce Cisco cihazına yerleştirilen implantın, yanıt vermeden önce Yetkilendirme HTTP başlık değerini kontrol edecek şekilde değiştirildiğini gözlemledik “Görünüşe göre bu kullanıcı adı/şifre güncellemesi kısa vadeli bir düzeltme olmalı, böylece sistemlerde birkaç gün daha kalabilirler – ve her türlü hedefe ulaşabilirler – ya da daha gizli bir implant yerleştirene kadar sadece bir geçici çözüm olabilir

Düşüş, nedenine dair bir dizi teoriyi ateşledi, ancak 23 Ekim’de Fox-IT’den araştırmacılar gerçek sebebin, saldırganın implantı değiştirmesiyle ilgili olduğunu ve dolayısıyla önceki parmak izi yöntemleriyle artık görülemeyeceğini belirlediler

Araştırmacıların görebildiği risk altındaki sistemlerin sayısında hafta sonu yaşanan ani ve dramatik düşüş, bazılarının bilinmeyen bir gri şapkalı hacker’ın sessizce gizlenip gizlenmediği konusunda spekülasyon yapmasına neden oldu saldırganın implantını çıkarmak virüslü sistemlerden hafta sonu boyunca

Arka plan yoluyla: Açıklardan yararlanma zincirinde kullanılan ana hata, IOS XE’nin Web kullanıcı arayüzünde mevcuttur (CVE-2023-20198)

Bu istismar yöntemi ayrıca, Cisco’nun yalnızca ilkini araştırırken keşfettiği ikinci bir sıfır günü (CVE-2023-20273) de içerir; bu, saldırganın dosya sistemine kök oluşturma ve dosya sistemine bir implant yazma ayrıcalıklarını yükseltmesine olanak tanır Şirket, “Müşterilerimizi, Cisco’nun güncellenmiş güvenlik danışmanlığında ve Talos blogunda belirtilen kılavuzu uygulamaya ve güvenlik düzeltmesini yüklemeye şiddetle teşvik ediyoruz” dedi “Normalde bir saldırgan yakalandığında sessizleşir ve ortalık yatıştığında etkilenen sistemleri yeniden ziyaret eder CVSS güvenlik açığı ciddiyet ölçeğinde 10 üzerinden 10’da yer alıyor ve kimliği doğrulanmamış uzak saldırganlara, etkilenen cihazlara ilk erişim elde etmeleri ve bu cihazlarda kalıcı yerel kullanıcı hesapları oluşturmaları için bir yol sunuyor ”

Fox-IT, ele geçirilen sistemleri aramak için başka bir parmak izi yöntemi kullanarak, saldırganların üzerlerine hâlâ implant yerleştirdiği 37 Diğer bir teori ise saldırganın implantı kullanarak implanttan kurtulmak için sistemleri yeniden başlattığı yönündeydi Başlangıçta ne olabileceğinden emin olmayanlar arasında yer alan CTO Jacob Baines, Fox-IT’in olanlara ilişkin yaklaşımının doğru olduğunu söylüyor 890 cihazı tespit ettiğini söyledi ”

Bu durumda saldırgan, düzinelerce güvenlik şirketinin varlığını bildiği implantlara erişimi sürdürmeye çalışıyor “Bu, son günlerde tespit edilen güvenliği ihlal edilmiş sistemlerin çok tartışılan düşüşünü açıklıyor

Ancak nereye bakılacağını bilirseniz, işletim sisteminde yakın zamanda açıklanan iki sıfır gün hatası nedeniyle yaklaşık 38 ”





siber-1

Şirket, “İnternet’e maruz kalan bir Cisco IOS XE WebUI’ye sahip olan (sahip olan) herkese adli triyaj gerçekleştirmelerini şiddetle tavsiye ediyoruz” diye ekledi Geçtiğimiz hafta Shodan, Censys ve diğer araçları kullanan güvenlik araştırmacıları, tek bir tehdit aktörünün on binlerce etkilenen Cisco IOS XE cihazına keyfi kod yürütmeye yönelik bir implant bulaştırdığını gözlemlediklerini bildirdi Diğerleri saldırganın başka bir yere taşınıp taşınmadığını merak etti başka bir istismar aşamasıya da bir çeşit şey yapıyordum temizleme işlemi İmplantı gizlemek için İmplantlar kalıcı değildir, bu da cihazın yeniden başlatılması durumunda hayatta kalamayacakları anlamına gelir ”

Cisco rehberini güncelledi Dark Reading’e yaptığı açıklamada şirket, risk altındaki sistemlerin tanımlanmasını engelleyen bir implant çeşidini ortaya çıkardıktan sonra yeni risk göstergelerini yayınladığını söyledi