OzzTech - CISCO VPN Routerları Üzerinde Kritik Güvenlik Açığı

CISCO VPN Routerları Üzerinde Kritik Güvenlik Açığı

CISCO VPN

Yapılan araştırmalar sonucu Cisco Vpn Router’ları üzerinde ciddi güvenlik açığı tespit etmişlerdir. Bu açıktan etkilenen 8800’e yakın kurum olduğu tespit edilmiştir.

Cisco ‘nun küçük işletmelere yönelik olarak belirlediği Vpn Router üzerinde kritik bir güvenlik açığı tespit edilmiştir. Kurum ağı dışında bulunan anonim bir saldırganının cihazı ele geçirmesine olanak veren bu güvenlik açığından şu ana kadar 8.800 adet kurumun etkilendiği bildirilmiştir.

Cisco konuya acilen müdahale etmek için yama çıkarmış ve bu güvenlik açığı (CVE-2021-1609) olarak raporlanmıştır. Yama geçilen ve bu açıktan etkilenen ürünler aşağıdaki gibidir.

Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Web Management Vulnerabilities (advisory)

Cisco Small Business RV160 and RV260 Series VPN Routers Remote Command Execution Vulnerability (advisory)

Cisco Packet Tracer for Windows DLL Injection Vulnerability (advisory)

Cisco Network Services Orchestrator CLI Secure Shell Server Privilege Escalation Vulnerability (advisory)

ConfD CLI Secure Shell Server Privilege Escalation Vulnerability (advisory)

Cisco Gigabit VPN Router’lar Üzerinde Kritik RCE Güvenlik Açığı

Kritik hata, satıcının Dual WAN Gigabit VPN yönlendiricilerini etkiler. Tavsiyeye göre, CVE-2021-1609, cihazlar için web yönetim arayüzünde bulunur ve CVSSv3 güvenlik açığı-önem puanı 9.8'dir. HTTP isteklerinin yanlış doğrulanması nedeniyle ortaya çıkar.

Tenable'ın Perşembe günü yaptığı bir analize göre , uzak, kimliği doğrulanmamış bir saldırgan, güvenlik açığı bulunan bir cihaza özel hazırlanmış bir HTTP isteği göndererek güvenlik açığından yararlanabilir ve "rasgele kod yürütmenin yanı sıra cihazı yeniden yükleme yeteneği ile DDos saldırısına maruz bırakabilir.

Bu cihazların uzaktan yönetimi, Cisco'ya göre varsayılan olarak devre dışıdır, bu da bu tür saldırıları önleyecektir. Ancak Tenable'daki araştırmacılar, 8.800'den fazla cihazın herkese açık olduğunu ve kötüye kullanıma açık olduğunu buldu.

Bu arada, aynı cihazları etkileyen ikinci bir hata olan CVE-2021-1610, aynı web yönetim arayüzünde yüksek dereceli bir komut enjeksiyon güvenlik açığıdır.

Tenable'a göre, "Her iki kusur da HTTP isteklerinin uygun olmayan şekilde doğrulanması nedeniyle mevcut olsa da ve özel hazırlanmış HTTP istekleri gönderilerek kullanılabilirken, CVE-2021-1610 yalnızca kök ayrıcalıklarına sahip kimliği doğrulanmış bir saldırgan tarafından kullanılabilir". “Başarılı bir istismar, bir saldırgana, savunmasız cihazın işletim sisteminde rastgele komut yürütme elde etme yeteneği verir.”

Cisco, küçük işletme VPN yönlendiricileri için web yönetim arayüzünün varsayılan olarak yerel alan ağı bağlantıları aracılığıyla mevcut olduğunu ve devre dışı bırakılamayacağını belirterek, yönlendirici yazılımının bazı sürümlerinin yalnızca iki güvenlik açığından birinden etkilenebileceğini de sözlerine ekledi.

Analize göre, "Ocak 2019'da Cisco, RV320 ve RV325 WAN VPN yönlendiricilerinde iki farklı güvenlik açığı için öneriler yayınladı." "Önerilerin yayınlanmasından birkaç gün sonra, bu kusurlar için kavram kanıtı açıklayıcı komut dosyaları yayınlandı ve ardından savunmasız cihazlar için aktif tarama yapıldı. Bu tarihsel emsal nedeniyle, kuruluşların bu son güvenlik açıklarını mümkün olan en kısa sürede düzeltmelerinin önemli olduğuna inanıyoruz.”

Firma, yama mümkün değilse, kullanıcıların uzaktan web yönetiminin devre dışı bırakıldığından emin olmaları gerektiğini ekledi.

Yüksek Önemli Cisco Güvenlik Hataları

Cisco ayrıca, CVSSv3 ölçeğinde 8,8 ile 7,8 arasında değişen önem dereceleriyle birkaç yüksek önem derecesine sahip hatayı da ele aldı.

CVE-2021-1602 olarak izlenen hata, Cisco Small Business RV160, RV160W, RV260, RV260P ve RV260W VPN Yönlendiricilerinin web tabanlı yönetim arabiriminde bulunur - istismar edilirse, kimliği doğrulanmamış, uzak bir saldırganın aşağıdakileri kullanarak rastgele komutlar yürütmesine izin verebilir. temel alınan işletim sisteminde kök düzeyinde ayrıcalık alabilir.

Gigabit VPN yönlendirici sorunları gibi, güvenlik açığı da yetersiz kullanıcı girişi doğrulamasından kaynaklanır ve bir saldırgan web tabanlı yönetim arabirimine hazırlanmış bir istek göndererek bundan yararlanabilir. Bununla birlikte, hafifletici bir faktör, Cisco'ya göre yalnızca parametresiz komutların yürütülebilmesidir.

Bu arada, Windows için Cisco Packet Tracer'daki (CVE-2021-1593) bir güvenlik açığı, kimliği doğrulanmış, yerel bir saldırganın etkilenen bir cihazda DLL ekleme saldırısı gerçekleştirmesine izin verebilir. Tavsiyeye göre, bir saldırganın başarılı olabilmesi için Windows sisteminde geçerli kimlik bilgilerine sahip olması gerekir.

Cisco, "Bu güvenlik açığı, çalışma zamanında dizin yollarının yanlış işlenmesinden kaynaklanıyor" dedi. “Saldırgan, sistemdeki belirli bir yola bir yapılandırma dosyası ekleyerek bu güvenlik açığından yararlanabilir ve bu da uygulama başladığında kötü amaçlı bir DLL dosyasının yüklenmesine neden olabilir. Başarılı bir güvenlik açığı, normal kullanıcı ayrıcalıklarına sahip bir saldırganın, etkilenen sistemde başka bir kullanıcının hesabının ayrıcalıklarıyla rasgele kod yürütmesine izin verebilir.”

Son yüksek önem düzeyine sahip güvenlik sorunu CVE-2021-1572 olarak izlenir ve CLI Secure Shell (SSH) Sunucusu için hem Cisco Network Services Orchestrator (NSO) hem de ConfD seçeneklerini etkiler. Bu, kimliği doğrulanmış, yerel bir saldırganın, hizmetin altında çalıştığı ve genellikle kök olan hesap düzeyinde rasgele komutlar yürütmesine izin verebilecek bir ayrıcalık yükseltme hatasıdır.

Saldırganın güvenlik açığından yararlanabilmesi için etkilenen cihazda geçerli bir hesabı olması gerekir.

Cisco'ya göre, "Etkilenen yazılım, CLI için yerleşik SSH sunucusu etkinleştirildiğinde çalışan hesabın ayrıcalık düzeyinde SFTP kullanıcı hizmetini yanlış çalıştırdığı için güvenlik açığı ortaya çıkıyor". "Düşük düzey ayrıcalıklara sahip bir saldırgan, etkilenen bir cihazın kimliğini doğrulayarak ve SFTP arabiriminde bir dizi komut yayınlayarak bu güvenlik açığından yararlanabilir."

Satıcı, yerleşik SSH sunucusunda kimlik doğrulaması yapabilen herhangi bir kullanıcının hatadan yararlanabileceği konusunda uyardı.

Cisco hataları siber saldırganlar arasında popüler olduğundan , kullanıcılar etkilenen ürünlerin en son sürümlerine güncelleme yapmalıdır.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.