İçeriğe geçmek için "Enter"a basın

Cisco yamaladı ama açıklar kapanmadı

Cisco’nun RV320 ve RV325 WAN VPN router zafiyetleri Eylül 2018’de keşfedilmişti. 4 ay sonra yani Ocak ayında yayınlanan yamaların sadece curl (çevrimiçi veri aktarımı için popüler bir komut satırı aracı) ile bağlantıyı karalisteye aldığı ve bu nedenle siber saldırganların geçtiğimiz iki ay süresince saldırılarına devam edebildiği ortaya çıktı.

Bahsedilen güvenlik açıkları, CVE-2019-1652 Uzaktan bağlantı kuran bir saldırganın parola olmadan yönetici komutlarını yürütebilmesine izin veriyor, CVE-2019-1653 ise uzaktan bağlantı kuran bir saldırganın hassas cihaz yapılandırma detaylarını parola olmadan ele geçirmesine izin veriyordu.

Bu iki zafiyet nedeniyle, farklı güvenlik araştırmacılarının ispat kodu (proof of concept) ile sorunları ve routerların ele geçirilmesi için bunların nasıl kullanılabileceğini yayınlaması sonrası çok sayıda saldırı gerçekleşti.

Cisco’nun yayınladığı ilk yamalarının bu savunmasız cihazları korumak için yeterli olacağı sanılmıştı ancak zafiyetleri ilk keşfeden güvenlik firması olan Bad Packets LLC, Cisco’nun yamalarının yetersiz olduğunu ortaya koydu. Sadece curl ile erişimi engelleyerek saldırganların istismar edilebilir durumdaki routerları bulmasına engel olabileceğini ve cihazları ele geçirmek için bilinen zafiyetlerin kullanılamayacağını düşünmesi ise Cisco’nun ya fazla iyimser ya da fazla umursamaz olduğunun bir göstergesi denilebilir. Şirketin mühendislerinin ürün yazılımındaki zafiyet barındıran kodu düzeltmek yerine bu yolu seçmesi, saldırganların 2 aydır saldırılarını sürdürebilmesine yaradı.

Dahası, birçok Cisco RV320/RV325 router sahibinin Ocak ayında yayınlanan hatalı yamayı bile indirmediği, bu nedenle çoğu cihazın hala ilk yayınlanan istismar kodundan bile etkilenir durumda olduğu söyleniyor. Gerçi eğer indirmiş olsalardı dahi, saldırganların yapması gereken tek şey curl dışında bir zafiyet tarama aracı kullanmak olacaktı.

Bahsi geçen cihazların yaklaşık 10.000 tanesinin çevrimiçi olarak erişilebilir durumda ve saldırılara açık olduğu biliniyor ancak Cisco’dan hala düzgün bir yamanın ne zaman yayınlanabileceğine dair bir bilgi yok.

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir