सुरक्षा शोधकर्ता आरोन थैकर वास्तव में सिस्को उपकरण से एक सर्वर बनाना चाहते थे। उन्होंने सिस्को इंटीग्रेटेड मैनेजमेंट कंट्रोलर के वेब-आधारित प्रबंधन इंटरफ़ेस में एक भेद्यता की खोज की। फिर उन्होंने डूम स्थापित किया और इसे प्रबंधन कंसोल में डेमो के रूप में चलाया।
सुरक्षा शोधकर्ता आरोन थैकर केवल सिस्को C195 ईमेल सुरक्षा उपकरण को हैक करने में कामयाब रहे, लेकिन भेद्यता सिस्को उपकरणों की पूरी श्रृंखला को प्रभावित करती है। थैकर केवल उपकरण से एक सर्वर बनाना चाहता था और रूपांतरण के दौरान उसे भेद्यता का पता चला. फिर उसने हमलों की एक श्रृंखला शुरू की:
- उन्होंने CIMC को नेटवर्क के लिए सुलभ बनाने के लिए BIOS को बदल दिया।
- इसके बाद उन्होंने रिमोट कमांड निष्पादन भेद्यता (सीवीई-2024-20356) के माध्यम से सिस्टम में एक महत्वपूर्ण घटक तक रूट पहुंच हासिल करने के लिए नेटवर्क पर सीआईएमसी प्रबंधन प्रणाली पर हमला किया।
- अंत में, अन्य सुरक्षित बूट कुंजियों का उपयोग करने की अनुमति देने के लिए डिवाइस पीआईडी को बदलकर सुरक्षित बूट श्रृंखला से समझौता किया जा सकता है।
भेद्यता का शोषण किया गया - डूम स्थापित किया गया और चलाया गया
बेशक, शोधकर्ता ने सिस्को को पहले ही सूचित कर दिया था और संबंधित प्रकाशन तिथि निर्धारित कर दी थी। सिस्को ने समय का लाभ उठाया और संपूर्ण उत्पाद श्रृंखला के लिए उचित अपडेट प्रदान किया। एक सुरक्षा वक्तव्य में, सिस्को भेद्यता से प्रभावित सभी उपकरणों को सूचीबद्ध करता है। इसका सीवीएसएस मान 8.7 में से 10 है और इसलिए इसे अत्यधिक खतरनाक माना जाता है।
सिस्को ने भेद्यता को "सिस्को इंटीग्रेटेड मैनेजमेंट कंट्रोलर (आईएमसी) के वेब-आधारित प्रबंधन इंटरफ़ेस में कमांड इंजेक्शन भेद्यता" कहा है। सिस्को इंटीग्रेटेड मैनेजमेंट कंट्रोलर (आईएमसी) के वेब-आधारित प्रबंधन इंटरफ़ेस में एक भेद्यता एक प्रमाणित, दूरस्थ हमलावर की अनुमति दे सकती है। प्रभावित सिस्टम पर कमांड इंजेक्शन हमलों का संचालन करने के लिए प्रशासनिक विशेषाधिकारों के साथ और इसके रूट विशेषाधिकारों के अधिकारों को बढ़ाएं।
यह भेद्यता उपयोगकर्ता इनपुट के अपर्याप्त सत्यापन के कारण है। एक हमलावर प्रभावित सॉफ़्टवेयर के वेब-आधारित प्रबंधन इंटरफ़ेस पर तैयार किए गए आदेश भेजकर इस भेद्यता का फायदा उठा सकता है। एक सफल कारनामा हमलावर को अपने विशेषाधिकारों को जड़ से उखाड़ने की अनुमति दे सकता है।
सिस्को अद्यतन प्रदान करता है
सिस्को अपनी वेबसाइट पर सीवीई पहचानकर्ता सीवीई-2024-20356 के साथ भेद्यता के लिए निर्देश और अपडेट प्रदान करता है। चूँकि भेद्यता को अत्यधिक खतरनाक माना जाता है, सिस्को तत्काल अद्यतन की अनुशंसा करता है।
Cisco.com पर अधिक
सिस्को के बारे में सिस्को दुनिया की अग्रणी प्रौद्योगिकी कंपनी है जो इंटरनेट को संभव बनाती है। सिस्को वैश्विक और समावेशी भविष्य के लिए अनुप्रयोगों, डेटा सुरक्षा, बुनियादी ढांचे के परिवर्तन और टीमों के सशक्तिकरण के लिए नई संभावनाएं खोल रहा है।