IOS XE operatsion tizimida ishlaydigan 40 000 dan ortiq Cisco qurilmalari xakerlar tomonidan CVE-2023-20198 zaifligi yordamida foydalangandan so‘ng buzib kirilgan.
Hech qanday tuzatish yoki vaqtinchalik yechim mavjud emas va foydalanuvchilarga qurilmalarni himoya qilish bo’yicha yagona tavsiya ” HTTP server imkoniyatini internetga ochilgan barcha tizimlarda o’chirish” dir.
Cisco IOS XE-da ishlaydigan tarmoq qurilmalari korporativ kalitlarni, sanoat routerlarni, kirish nuqtalarini, simsiz kontrollerlarni, yig’ish va filial marshrutizatorlarini o’z ichiga oladi.
O’n minglab Cisco qurilmalari xafv ostida
Buzilgan Cisco IOS XE qurilmalarining dastlabki hisob-kitoblariga ko’ra, taxminan 10 000 ta bo’lgan va xavfsizlik bo’yicha tadqiqotchilar aniqroq miqdor uchun internetni skanerlashi natijasida ularning soni o’sishni boshladi.
Seshanba kuni ommaviy Internetda ochilgan xizmatlar va veb-ilovalarni indekslash uchun LeakIX tizimi qayta ishga tushirilgan tizimlarni hisobga olmagan holda 30 000 ga yaqin zararlangan qurilmalarni topganini aytdi.
18-oktabr kuni yangilangan Censys qidiruv platformasi internetga ulangan qurilmalar uchun hujum maydonini baholash uchun topilgan buzilgan qurilmalar soni 41 983 taga yetganini aytdi.
Umumiy internet orqali kirish mumkin bo’lgan Cisco IOS XE qurilmalarining aniq sonini olish qiyin, ammo Shodan 145 000 dan ortiq xostlarni ko’rsatmoqda, ularning aksariyati AQShda.
AQShda ko’plab qurilmalar Comcast, Verizon, Cox Communications, Frontier, AT&T, Spirit, CenturyLink, Charter, Cobridge, Windstream va Google Fiber kabi aloqa provayderlariga tegishli.
Sejiyama ro’yxatiga tibbiy markazlar, universitetlar, politsiya idoralari, maktab tumanlari, maishiy do’konlar, banklar, shifoxonalar va Cisco IOS XE qurilmalari onlayn rejimda taqdim etilgan davlat tashkilotlari ham kiradi.
Cisco dushanba kuni CVE-2023-20198 ni oshkor qildi, ammo xakerlar undan 28-sentyabrdan oldin, nol kun bo’lganida, ta’sirlangan xostlarda yuqori imtiyozli hisob yaratish va qurilmani to’liq nazorat qilish uchun foydalangan.
Tadqiqotchilarning ta’kidlashicha, ushbu hujumlar ortidagi xakerlar zararli implantdan foydalanadilar, u barqarorlikka ega emas va qurilma qayta ishga tushirilgandan keyin olib tashlanadi.
Cisco tahliliga asoslanib, xaker qurilma haqida ma’lumot to’playdi va dastlabki razvedka faoliyatini amalga oshiradi. Buzg’unchi, shuningdek, o’zlarining faoliyatini yashirish uchun jurnallarni tozalaydi va foydalanuvchilarni o’chirib tashlaydi.
Tadqiqotchilarning fikricha, bu hujumlar ortida faqat bitta tahdid bor, dastlabki yetkazib berish mexanizmi – xakerlarning kirish usuli esa no’malumligicha qolmoqda.
Cisco hujumlar haqida qoʻshimcha maʼlumotlarni oshkor qilmadi, biroq tergovni yakunlagach va tuzatish mavjud boʻlganda qoʻshimcha maʼlumot berishga vaʼda berdi.
