Siber Saldırganlar, Güvenliği Tehlikeye Giren 30K Cisco IOS XE Cihazlarındaki İmplantı Değiştiriyor - Dünyadan Güncel Teknoloji Haberleri

Siber Saldırganlar, Güvenliği Tehlikeye Giren 30K Cisco IOS XE Cihazlarındaki İmplantı Değiştiriyor - Dünyadan Güncel Teknoloji Haberleri

Düşüş, nedenine dair bir dizi teoriyi ateşledi, ancak 23 Ekim’de Fox-IT’den araştırmacılar gerçek sebebin, saldırganın implantı değiştirmesiyle ilgili olduğunu ve dolayısıyla önceki parmak izi yöntemleriyle artık görülemeyeceğini belirlediler “Görünüşe göre bu kullanıcı adı/şifre güncellemesi kısa vadeli bir düzeltme olmalı, böylece sistemlerde birkaç gün daha kalabilirler – ve her türlü hedefe ulaşabilirler – ya da daha gizli bir implant yerleştirene kadar sadece bir geçici çözüm olabilir ”

Fox-IT, ele geçirilen sistemleri aramak için başka bir parmak izi yöntemi kullanarak, saldırganların üzerlerine hâlâ implant yerleştirdiği 37 saldırganın implantını çıkarmak virüslü sistemlerden ”

Bu durumda saldırgan, düzinelerce güvenlik şirketinin varlığını bildiği implantlara erişimi sürdürmeye çalışıyor “Normalde bir saldırgan yakalandığında sessizleşir ve ortalık yatıştığında etkilenen sistemleri yeniden ziyaret eder

Baines, “Bana göre kazanamayacakları bir oyun gibi görünüyor” diyor

Ancak nereye bakılacağını bilirseniz, işletim sisteminde yakın zamanda açıklanan iki sıfır gün hatası nedeniyle yaklaşık 38

Araştırmacıların görebildiği risk altındaki sistemlerin sayısında hafta sonu yaşanan ani ve dramatik düşüş, bazılarının bilinmeyen bir gri şapkalı hacker’ın sessizce gizlenip gizlenmediği konusunda spekülasyon yapmasına neden oldu Diğer bir teori ise saldırganın implantı kullanarak implanttan kurtulmak için sistemleri yeniden başlattığı yönündeydi hafta sonu boyunca Başlangıçta ne olabileceğinden emin olmayanlar arasında yer alan CTO Jacob Baines, Fox-IT’in olanlara ilişkin yaklaşımının doğru olduğunu söylüyor



Kullanıcılar yamaları beklerken sıfır gün olarak istismar edilen maksimum kritik bir Cisco hatasını içeren uzlaşma destanının en sonuncusunda, birçok güvenlik araştırmacısı, görebilecekleri virüslü Cisco IOS XE sistemlerinin sayısında keskin bir düşüş gözlemlediklerini bildirdi “Bu, son günlerde tespit edilen güvenliği ihlal edilmiş sistemlerin çok tartışılan düşüşünü açıklıyor

Şirket, “İnternet’e maruz kalan bir Cisco IOS XE WebUI’ye sahip olan (sahip olan) herkese adli triyaj gerçekleştirmelerini şiddetle tavsiye ediyoruz” diye ekledi ”





siber-1

CVSS güvenlik açığı ciddiyet ölçeğinde 10 üzerinden 10’da yer alıyor ve kimliği doğrulanmamış uzak saldırganlara, etkilenen cihazlara ilk erişim elde etmeleri ve bu cihazlarda kalıcı yerel kullanıcı hesapları oluşturmaları için bir yol sunuyor

Değiştirilmiş Cisco İmplantı

“On binlerce Cisco cihazına yerleştirilen implantın, yanıt vermeden önce Yetkilendirme HTTP başlık değerini kontrol edecek şekilde değiştirildiğini gözlemledik ”

Cisco rehberini güncelledi Dark Reading’e yaptığı açıklamada şirket, risk altındaki sistemlerin tanımlanmasını engelleyen bir implant çeşidini ortaya çıkardıktan sonra yeni risk göstergelerini yayınladığını söyledi

Arka plan yoluyla: Açıklardan yararlanma zincirinde kullanılan ana hata, IOS XE’nin Web kullanıcı arayüzünde mevcuttur (CVE-2023-20198) 000 kişinin tehlikeye girdiği ortaya çıktı “Yakın zamanda tarayıcımızı Fox-IT tarafından gösterilen yeni yöntemi kullanacak şekilde değiştirdik ve aslında geçen hafta gördüklerimizi görüyoruz: binlerce implante cihaz

Baines, “Hafta sonu boyunca saldırganlar implanta erişim yöntemini değiştirdiler ve eski tarama yöntemi artık kullanılamaz hale geldi” diyor

Bu istismar yöntemi ayrıca, Cisco’nun yalnızca ilkini araştırırken keşfettiği ikinci bir sıfır günü (CVE-2023-20273) de içerir; bu, saldırganın dosya sistemine kök oluşturma ve dosya sistemine bir implant yazma ayrıcalıklarını yükseltmesine olanak tanır Geçtiğimiz hafta Shodan, Censys ve diğer araçları kullanan güvenlik araştırmacıları, tek bir tehdit aktörünün on binlerce etkilenen Cisco IOS XE cihazına keyfi kod yürütmeye yönelik bir implant bulaştırdığını gözlemlediklerini bildirdi

Şaşırtıcı Siber Saldırgan Motivasyonları

Baines, saldırganın implantı değiştirme motivasyonunun kafa karıştırıcı ve tamamen beklenmedik olduğunu söylüyor Cisco piyasaya sürüldü IOS XE’nin güncellenmiş sürümleri Kusurların ifşa edilmesinden günler sonra, 22 Ekim’de ele alınması, siber saldırganlara bir sürü yama yapılmamış sistemin peşine düşme fırsatı veriyor Diğerleri saldırganın başka bir yere taşınıp taşınmadığını merak etti başka bir istismar aşamasıya da bir çeşit şey yapıyordum temizleme işlemi İmplantı gizlemek için 890 cihazı tespit ettiğini söyledi Şirket, “Müşterilerimizi, Cisco’nun güncellenmiş güvenlik danışmanlığında ve Talos blogunda belirtilen kılavuzu uygulamaya ve güvenlik düzeltmesini yüklemeye şiddetle teşvik ediyoruz” dedi

Ele Geçirilen Sistemlerde Ani Düşüş

Ve onların peşinden gittiler GitHub hakkında tavsiye Güvenliği ihlal edilmiş sistemleri tanımlamak için ” Fox-IT araştırmacıları X’te şunları söyledi:, eski adı Twitter olan platform

Araştırmacılar VulnCheck Geçen hafta binlerce virüslü sistem gördüğünü bildiren kişiler, ele geçirilen cihazların hafta sonu aniden gözden kaybolduğunu fark edenler arasındaydı İmplantlar kalıcı değildir, bu da cihazın yeniden başlatılması durumunda hayatta kalamayacakları anlamına gelir