Siber Saldırganlar, Güvenliği Tehlikeye Giren 30K Cisco IOS XE Cihazlarındaki İmplantı Değiştiriyor - Dünyadan Güncel Teknoloji Haberleri

Siber Saldırganlar, Güvenliği Tehlikeye Giren 30K Cisco IOS XE Cihazlarındaki İmplantı Değiştiriyor - Dünyadan Güncel Teknoloji Haberleri

Fox-IT, ele geçirilen sistemleri aramak için başka bir parmak izi yöntemi kullanarak, saldırganların üzerlerine hâlâ implant yerleştirdiği 37

Baines, “Hafta sonu boyunca saldırganlar implanta erişim yöntemini değiştirdiler ve eski tarama yöntemi artık kullanılamaz hale geldi” diyor

Baines, “Bana göre kazanamayacakları bir oyun gibi görünüyor” diyor ” Fox-IT araştırmacıları X’te şunları söyledi:, eski adı Twitter olan platform

Araştırmacıların görebildiği risk altındaki sistemlerin sayısında hafta sonu yaşanan ani ve dramatik düşüş, bazılarının bilinmeyen bir gri şapkalı hacker’ın sessizce gizlenip gizlenmediği konusunda spekülasyon yapmasına neden oldu Şirket, “Müşterilerimizi, Cisco’nun güncellenmiş güvenlik danışmanlığında ve Talos blogunda belirtilen kılavuzu uygulamaya ve güvenlik düzeltmesini yüklemeye şiddetle teşvik ediyoruz” dedi

Arka plan yoluyla: Açıklardan yararlanma zincirinde kullanılan ana hata, IOS XE’nin Web kullanıcı arayüzünde mevcuttur (CVE-2023-20198)

Ele Geçirilen Sistemlerde Ani Düşüş

Ve onların peşinden gittiler

Şirket, “İnternet’e maruz kalan bir Cisco IOS XE WebUI’ye sahip olan (sahip olan) herkese adli triyaj gerçekleştirmelerini şiddetle tavsiye ediyoruz” diye ekledi Diğerleri saldırganın başka bir yere taşınıp taşınmadığını merak etti başka bir istismar aşamasıya da bir çeşit şey yapıyordum temizleme işlemi İmplantı gizlemek için Cisco piyasaya sürüldü IOS XE’nin güncellenmiş sürümleri Kusurların ifşa edilmesinden günler sonra, 22 Ekim’de ele alınması, siber saldırganlara bir sürü yama yapılmamış sistemin peşine düşme fırsatı veriyor

Düşüş, nedenine dair bir dizi teoriyi ateşledi, ancak 23 Ekim’de Fox-IT’den araştırmacılar gerçek sebebin, saldırganın implantı değiştirmesiyle ilgili olduğunu ve dolayısıyla önceki parmak izi yöntemleriyle artık görülemeyeceğini belirlediler “Bu, son günlerde tespit edilen güvenliği ihlal edilmiş sistemlerin çok tartışılan düşüşünü açıklıyor CVSS güvenlik açığı ciddiyet ölçeğinde 10 üzerinden 10’da yer alıyor ve kimliği doğrulanmamış uzak saldırganlara, etkilenen cihazlara ilk erişim elde etmeleri ve bu cihazlarda kalıcı yerel kullanıcı hesapları oluşturmaları için bir yol sunuyor ”

Cisco rehberini güncelledi Dark Reading’e yaptığı açıklamada şirket, risk altındaki sistemlerin tanımlanmasını engelleyen bir implant çeşidini ortaya çıkardıktan sonra yeni risk göstergelerini yayınladığını söyledi

Değiştirilmiş Cisco İmplantı

“On binlerce Cisco cihazına yerleştirilen implantın, yanıt vermeden önce Yetkilendirme HTTP başlık değerini kontrol edecek şekilde değiştirildiğini gözlemledik İmplantlar kalıcı değildir, bu da cihazın yeniden başlatılması durumunda hayatta kalamayacakları anlamına gelir “Görünüşe göre bu kullanıcı adı/şifre güncellemesi kısa vadeli bir düzeltme olmalı, böylece sistemlerde birkaç gün daha kalabilirler – ve her türlü hedefe ulaşabilirler – ya da daha gizli bir implant yerleştirene kadar sadece bir geçici çözüm olabilir 000 kişinin tehlikeye girdiği ortaya çıktı 890 cihazı tespit ettiğini söyledi “Normalde bir saldırgan yakalandığında sessizleşir ve ortalık yatıştığında etkilenen sistemleri yeniden ziyaret eder hafta sonu boyunca

Araştırmacılar VulnCheck Geçen hafta binlerce virüslü sistem gördüğünü bildiren kişiler, ele geçirilen cihazların hafta sonu aniden gözden kaybolduğunu fark edenler arasındaydı Başlangıçta ne olabileceğinden emin olmayanlar arasında yer alan CTO Jacob Baines, Fox-IT’in olanlara ilişkin yaklaşımının doğru olduğunu söylüyor

Ancak nereye bakılacağını bilirseniz, işletim sisteminde yakın zamanda açıklanan iki sıfır gün hatası nedeniyle yaklaşık 38 “Yakın zamanda tarayıcımızı Fox-IT tarafından gösterilen yeni yöntemi kullanacak şekilde değiştirdik ve aslında geçen hafta gördüklerimizi görüyoruz: binlerce implante cihaz ”





siber-1

Diğer bir teori ise saldırganın implantı kullanarak implanttan kurtulmak için sistemleri yeniden başlattığı yönündeydi GitHub hakkında tavsiye Güvenliği ihlal edilmiş sistemleri tanımlamak için

Bu istismar yöntemi ayrıca, Cisco’nun yalnızca ilkini araştırırken keşfettiği ikinci bir sıfır günü (CVE-2023-20273) de içerir; bu, saldırganın dosya sistemine kök oluşturma ve dosya sistemine bir implant yazma ayrıcalıklarını yükseltmesine olanak tanır saldırganın implantını çıkarmak virüslü sistemlerden ”

Bu durumda saldırgan, düzinelerce güvenlik şirketinin varlığını bildiği implantlara erişimi sürdürmeye çalışıyor



Kullanıcılar yamaları beklerken sıfır gün olarak istismar edilen maksimum kritik bir Cisco hatasını içeren uzlaşma destanının en sonuncusunda, birçok güvenlik araştırmacısı, görebilecekleri virüslü Cisco IOS XE sistemlerinin sayısında keskin bir düşüş gözlemlediklerini bildirdi

Şaşırtıcı Siber Saldırgan Motivasyonları

Baines, saldırganın implantı değiştirme motivasyonunun kafa karıştırıcı ve tamamen beklenmedik olduğunu söylüyor Geçtiğimiz hafta Shodan, Censys ve diğer araçları kullanan güvenlik araştırmacıları, tek bir tehdit aktörünün on binlerce etkilenen Cisco IOS XE cihazına keyfi kod yürütmeye yönelik bir implant bulaştırdığını gözlemlediklerini bildirdi