CISCO VPN Routerları Üzerinde Kritik Güvenlik Açığı

CISCO VPN

Yapılan araştırmalar sonucu Cisco Vpn Router’ları üzerinde ciddi güvenlik açığı tespit etmişlerdir. Bu açıktan etkilenen 8800’e yakın kurum olduğu tespit edilmiştir.

Cisco ‘nun küçük işletmelere yönelik olarak belirlediği Vpn Router üzerinde kritik bir güvenlik açığı tespit edilmiştir. Kurum ağı dışında bulunan anonim bir saldırganının cihazı ele geçirmesine olanak veren bu güvenlik açığından şu ana kadar 8.800 adet kurumun etkilendiği bildirilmiştir.

Cisco konuya acilen müdahale etmek için yama çıkarmış ve bu güvenlik açığı (CVE-2021-1609) olarak raporlanmıştır. Yama geçilen ve bu açıktan etkilenen ürünler aşağıdaki gibidir.

Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Web Management Vulnerabilities (advisory)

Cisco Small Business RV160 and RV260 Series VPN Routers Remote Command Execution Vulnerability (advisory)

Cisco Packet Tracer for Windows DLL Injection Vulnerability (advisory)

Cisco Network Services Orchestrator CLI Secure Shell Server Privilege Escalation Vulnerability (advisory)

ConfD CLI Secure Shell Server Privilege Escalation Vulnerability (advisory)

Cisco Gigabit VPN Router’lar Üzerinde Kritik RCE Güvenlik Açığı

Kritik hata, satıcının Dual WAN Gigabit VPN yönlendiricilerini etkiler. Tavsiyeye göre, CVE-2021-1609, cihazlar için web yönetim arayüzünde bulunur ve CVSSv3 güvenlik açığı-önem puanı 9.8’dir. HTTP isteklerinin yanlış doğrulanması nedeniyle ortaya çıkar.

Tenable’ın Perşembe günü yaptığı bir analize göre , uzak, kimliği doğrulanmamış bir saldırgan, güvenlik açığı bulunan bir cihaza özel hazırlanmış bir HTTP isteği göndererek güvenlik açığından yararlanabilir ve “rasgele kod yürütmenin yanı sıra cihazı yeniden yükleme yeteneği ile DDos saldırısına maruz bırakabilir.

Bu cihazların uzaktan yönetimi, Cisco’ya göre varsayılan olarak devre dışıdır, bu da bu tür saldırıları önleyecektir. Ancak Tenable’daki araştırmacılar, 8.800’den fazla cihazın herkese açık olduğunu ve kötüye kullanıma açık olduğunu buldu.

Bu arada, aynı cihazları etkileyen ikinci bir hata olan CVE-2021-1610, aynı web yönetim arayüzünde yüksek dereceli bir komut enjeksiyon güvenlik açığıdır.

Tenable’a göre, “Her iki kusur da HTTP isteklerinin uygun olmayan şekilde doğrulanması nedeniyle mevcut olsa da ve özel hazırlanmış HTTP istekleri gönderilerek kullanılabilirken, CVE-2021-1610 yalnızca kök ayrıcalıklarına sahip kimliği doğrulanmış bir saldırgan tarafından kullanılabilir”. “Başarılı bir istismar, bir saldırgana, savunmasız cihazın işletim sisteminde rastgele komut yürütme elde etme yeteneği verir.”

Cisco, küçük işletme VPN yönlendiricileri için web yönetim arayüzünün varsayılan olarak yerel alan ağı bağlantıları aracılığıyla mevcut olduğunu ve devre dışı bırakılamayacağını belirterek, yönlendirici yazılımının bazı sürümlerinin yalnızca iki güvenlik açığından birinden etkilenebileceğini de sözlerine ekledi.

Analize göre, “Ocak 2019’da Cisco, RV320 ve RV325 WAN VPN yönlendiricilerinde iki farklı güvenlik açığı için öneriler yayınladı.” “Önerilerin yayınlanmasından birkaç gün sonra, bu kusurlar için kavram kanıtı açıklayıcı komut dosyaları yayınlandı ve ardından savunmasız cihazlar için aktif tarama yapıldı. Bu tarihsel emsal nedeniyle, kuruluşların bu son güvenlik açıklarını mümkün olan en kısa sürede düzeltmelerinin önemli olduğuna inanıyoruz.”

Firma, yama mümkün değilse, kullanıcıların uzaktan web yönetiminin devre dışı bırakıldığından emin olmaları gerektiğini ekledi.

Yüksek Önemli Cisco Güvenlik Hataları

Cisco ayrıca, CVSSv3 ölçeğinde 8,8 ile 7,8 arasında değişen önem dereceleriyle birkaç yüksek önem derecesine sahip hatayı da ele aldı.

CVE-2021-1602 olarak izlenen hata, Cisco Small Business RV160, RV160W, RV260, RV260P ve RV260W VPN Yönlendiricilerinin web tabanlı yönetim arabiriminde bulunur – istismar edilirse, kimliği doğrulanmamış, uzak bir saldırganın aşağıdakileri kullanarak rastgele komutlar yürütmesine izin verebilir. temel alınan işletim sisteminde kök düzeyinde ayrıcalık alabilir.

Gigabit VPN yönlendirici sorunları gibi, güvenlik açığı da yetersiz kullanıcı girişi doğrulamasından kaynaklanır ve bir saldırgan web tabanlı yönetim arabirimine hazırlanmış bir istek göndererek bundan yararlanabilir. Bununla birlikte, hafifletici bir faktör, Cisco’ya göre yalnızca parametresiz komutların yürütülebilmesidir.

Bu arada, Windows için Cisco Packet Tracer’daki (CVE-2021-1593) bir güvenlik açığı, kimliği doğrulanmış, yerel bir saldırganın etkilenen bir cihazda DLL ekleme saldırısı gerçekleştirmesine izin verebilir. Tavsiyeye göre, bir saldırganın başarılı olabilmesi için Windows sisteminde geçerli kimlik bilgilerine sahip olması gerekir.

Cisco, “Bu güvenlik açığı, çalışma zamanında dizin yollarının yanlış işlenmesinden kaynaklanıyor” dedi. “Saldırgan, sistemdeki belirli bir yola bir yapılandırma dosyası ekleyerek bu güvenlik açığından yararlanabilir ve bu da uygulama başladığında kötü amaçlı bir DLL dosyasının yüklenmesine neden olabilir. Başarılı bir güvenlik açığı, normal kullanıcı ayrıcalıklarına sahip bir saldırganın, etkilenen sistemde başka bir kullanıcının hesabının ayrıcalıklarıyla rasgele kod yürütmesine izin verebilir.”

Son yüksek önem düzeyine sahip güvenlik sorunu CVE-2021-1572 olarak izlenir ve CLI Secure Shell (SSH) Sunucusu için hem Cisco Network Services Orchestrator (NSO) hem de ConfD seçeneklerini etkiler. Bu, kimliği doğrulanmış, yerel bir saldırganın, hizmetin altında çalıştığı ve genellikle kök olan hesap düzeyinde rasgele komutlar yürütmesine izin verebilecek bir ayrıcalık yükseltme hatasıdır.

Saldırganın güvenlik açığından yararlanabilmesi için etkilenen cihazda geçerli bir hesabı olması gerekir.

Cisco’ya göre, “Etkilenen yazılım, CLI için yerleşik SSH sunucusu etkinleştirildiğinde çalışan hesabın ayrıcalık düzeyinde SFTP kullanıcı hizmetini yanlış çalıştırdığı için güvenlik açığı ortaya çıkıyor”. “Düşük düzey ayrıcalıklara sahip bir saldırgan, etkilenen bir cihazın kimliğini doğrulayarak ve SFTP arabiriminde bir dizi komut yayınlayarak bu güvenlik açığından yararlanabilir.”

Satıcı, yerleşik SSH sunucusunda kimlik doğrulaması yapabilen herhangi bir kullanıcının hatadan yararlanabileceği konusunda uyardı.

Cisco hataları siber saldırganlar arasında popüler olduğundan , kullanıcılar etkilenen ürünlerin en son sürümlerine güncelleme yapmalıdır.

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »