16 Ekim 2023 tarihinde Cisco, Cisco IOS XE yazılımında bulunan yeni bir sıfır-gün (zero-day) güvenlik açığı hakkında bir güvenlik duyurusu yayınladı.

CVE-2023-20198, savunmasız cihazlarda kimlik doğrulama yapmadan saldırganlara ayrıcalıklı düzey 15 erişimine sahip bir hesap oluşturma imkanı veren kritik bir ayrıcalık yükseltme açığıdır. Bu açık, CVSS puanı 10 (Kritik) olan ve aktif olarak istismar edilen bir açıktır.

CVE-2023-20198 Elevation of Privilege Vulnerability

Cisco IOS (Internetwork Operating System) XE, birçok Cisco ürününde çalışan bir işletim sistemidir; bu ürünler arasında anahtarlar, yönlendiriciler, erişim noktaları ve kablosuz denetleyiciler bulunur. Cisco IOS XE'nin birçok özelliği arasında, ağ yöneticileri ve mühendislerinin Cisco yönlendiricilerini ve anahtarlarını yönetmelerine, yapılandırmalarını yapmalarına ve izlemelerine olanak tanıyan yerleşik bir web tabanlı arayüz bulunur. 16 Ekim 2023 tarihinde, Cisco, gerçek dünyada aktif olarak istismar edilen bir sıfır-gün (zero-day) açığı olan Cisco IOS XE'de bir güvenlik açığı açıkladı. CVE-2023-20198, kimlik doğrulama yapmayan bir saldırganın bir hesap oluşturmasına ve bu hesabın ayrıcalıklarını tam yönetici seviyesine yükseltmesine olanak tanıyan bir ayrıcalık yükseltme açığıdır. CVE-2023-20198'in 10 üzerinden 10 (Kritik) bir CVSS puanı vardır ve dünya genelinde binlerce cihaza etki etmektedir.

Siber tehdit aktörlerinin, hedef sistemlere ilk erişim için CVE-2023-20198 açığını istismar ettikleri gözlemlenmektedir. İlk erişimden sonra saldırganlar, başka bir açık olan CVE-2021-1435'i kullanarak bir implant yükleyip kök (root) ayrıcalıklarıyla uzaktan kod çalıştırma başarısı elde etmektedirler. Güvenlik araştırmacıları, 40.000'den fazla Cisco cihazının bu implant ile enfekte olduğunu tahmin etmektedirler.

Cisco, CVE-2021-1435 açığını 2021 yılında yamalamasına rağmen, saldırganlar, yamaya rağmen bu açığı istismar edebilmekte ve kurbanların ağlarına bir arka kapı (backconnect) olarak implant ekleyebilmektedirler. Bu implant, Lua programlama diliyle yazılmış olup saldırganlara HTTP POST istekleri aracılığıyla keyfi komutlar çalıştırma imkanı sağlar. Implant kalıcı değil ve yeniden başlatma sonrası hayatta kalmaz, ancak saldırganlar daha önce oluşturulmuş yönetici hesabını kullanarak implantı yeniden kurabilirler. Tehdit aktörleri ayrıca aktivitelerini gizlemek için günlükleri siler ve kullanıcıları kaldırırlar.

Cisco, IOS XE sürüm 17.9 için bir yama yayınladı ve diğer sürümleri de yamalamayı planlıyor. Organizasyonlara, Cisco güncellemelerini yakından takip etmeleri ve savunmasız IOS XE yazılımlarını en kısa sürede yamalamaları önerilmektedir.

Çözüm olarak tabloda belirtilen release’lerin gerçekleştirilmesi önerilir.

Referans; https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z