Güvenlik araştırmacısı Aaron Thacker aslında sadece bir Cisco cihazından bir sunucu oluşturmak istiyordu. Cisco Integrated Management Controller'ın web tabanlı yönetim arayüzünde bir güvenlik açığı keşfetti. Daha sonra Doom'u kurdu ve yönetim konsolunda demo olarak oynattı.
Güvenlik araştırmacısı Aaron Thacker yalnızca Cisco C195 Email Security Appliance'ı hacklemeyi başardı ancak güvenlik açığı tüm Cisco cihazlarını etkiliyor. Thacker, cihazdan bir sunucu oluşturmak istedi ve dönüştürme sırasında güvenlik açığını keşfetti. Daha sonra bir dizi saldırı başlattı:
- CIMC'nin ağ üzerinden erişilebilir olmasını sağlamak için BIOS'u değiştirdi.
- Daha sonra, uzaktan komut yürütme güvenlik açığı (CVE-2024-20356) yoluyla sistemdeki kritik bir bileşene kök erişimi sağlamak için ağ üzerinden CIMC yönetim sistemine saldırdı.
- Son olarak, cihazın PID'sinin diğer güvenli önyükleme anahtarlarının kullanılmasına izin verecek şekilde değiştirilmesiyle güvenli önyükleme zinciri tehlikeye girebilir.
Güvenlik açığından yararlanıldı - Doom yüklendi ve oynandı
🔎 Güvenlik araştırmacısı Aaron Thacker, Cisco cihazını kırdı ve Doom'u demo olarak yönetim konsoluna yükledi (Resim: Aaron Thacker, Doom Copyrights by ID Software)
Araştırmacı elbette Cisco'yu önceden bilgilendirmiş ve buna uygun bir yayın tarihi belirlemişti. Cisco bu zamandan yararlandı ve tüm ürün grubu için uygun güncellemeleri sağladı. Bir güvenlik bildiriminde Cisco, güvenlik açığından etkilenen tüm cihazları listeler. Bunun CVSS değeri 8.7 üzerinden 10'dir ve bu nedenle oldukça tehlikeli kabul edilir.
Cisco, bu güvenlik açığını "Cisco Entegre Yönetim Denetleyicisinin (IMC) Web Tabanlı Yönetim Arayüzünde Komut Ekleme Güvenlik Açığı" olarak adlandırıyor. Etkilenen bir sisteme komut ekleme saldırıları gerçekleştirmek için yönetici ayrıcalıklarına sahip ve kök ayrıcalıklarına ilişkin hakları artırıyor.
Bu güvenlik açığı, kullanıcı girişinin yetersiz doğrulanmasından kaynaklanmaktadır. Saldırgan, etkilenen yazılımın web tabanlı yönetim arayüzüne hazırlanmış komutlar göndererek bu güvenlik açığından yararlanabilir. Başarılı bir istismar, saldırganın ayrıcalıklarını root'a yükseltmesine olanak tanıyabilir.
Cisco güncellemeler sağlar
Cisco, web sitesinde CVE tanımlayıcı CVE-2024-20356 ile güvenlik açığına ilişkin talimatlar ve güncellemeler sağlar. Güvenlik açığının son derece tehlikeli olduğu düşünüldüğünden Cisco, acil bir güncelleme yapılmasını önerir.
Cisco.com'da daha fazlası
Cisco Hakkında Cisco, İnternet'i mümkün kılan dünyanın lider teknoloji şirketidir. Cisco, küresel ve kapsayıcı bir gelecek için uygulamalar, veri güvenliği, altyapı dönüşümü ve ekiplerin güçlendirilmesi için yeni olanaklar sunuyor.