FBI, Rusya bağlantılı hackerların Cisco cihazlardaki 7 yıllık güvenlik açığını kritik altyapılara saldırılarda kullandığını açıkladı

FBI, Rusya istihbaratına bağlı hacker grubunun, Cisco cihazlarındaki CVE-2018-0171 güvenlik açığını kullanarak dünya genelinde kritik altyapı kuruluşlarına saldırılar düzenlediğini açıkladı.

Berserk Bear (Blue Kraken, Crouching Yeti, Dragonfly, Koala Team) olarak da bilinen grup, ABD’de enerji, ulaşım ve endüstriyel kontrol sistemleriyle bağlantılı ağlarda izinsiz erişim sağladı. FBI açıklamasında, saldırganların ele geçirilen cihazlardan yapılandırma dosyalarını topladığı ve bazı cihazların ayarlarını değiştirerek kalıcı erişim sağladığı belirtildi.

Açığın teknik boyutu

CVE-2018-0171 açığı, Cisco IOS ve IOS XE yazılımlarındaki Smart Install özelliğinde bulunuyor. Yamalanmamış cihazlarda bu açık, saldırganlara kimlik doğrulama olmaksızın uzaktan cihazı yeniden başlatma, hizmet dışı bırakma (DoS) veya rastgele kod çalıştırma imkânı veriyor.

Cisco’nun açıklaması

Cisco, 2021’den beri bu açığın saldırılarda kullanıldığını belirtiyor. Şirketin siber güvenlik birimi Talos, saldırıların Kuzey Amerika, Asya, Afrika ve Avrupa’da telekomünikasyon, yükseköğretim ve üretim sektörlerini hedef aldığını duyurdu.

Talos ayrıca, saldırganların SNMP tabanlı özel araçlar ve SYNful Knock adlı zararlı yazılım implantı ile cihazlarda uzun süre fark edilmeden kalabildiğini bildirdi.

FBI ve Cisco’dan uyarı

FBI, saldırıların yalnızca Rusya kaynaklı olmayabileceğini, diğer devlet destekli aktörlerin de benzer yöntemlerle cihazları hedef alabileceğini belirtti. Cisco ise Smart Install özelliğinin kapatılmasını ve güvenlik yamalarının acilen uygulanmasını tavsiye etti.

Kaynak: Beykozun Sesi