Cisco, bugün Secure Email Gateway (SEG) ve Secure Email and Web Manager (SEWM) cihazlarını hedef alan, yamanmamış bir Cisco AsyncOS sıfır gün güvenlik açığı konusunda müşterilerini uyardı. Bu maksimum şiddet derecesine sahip sıfır gün, Spam Quarantine özelliği etkinleştirildiğinde ve internete açıldığında, yalnızca belirli konfigürasyonlara sahip Cisco SEG ve SEWM cihazlarını etkilemektedir.
Saldırının Arka Planı
Cisco Talos, şirketin tehdit istihbarat araştırma ekibi, bu güvenlik açığını kötüye kullanan saldırıların arkasında UAT-9686 olarak takip edilen bir Çinli tehdit grubunun olduğunu öne sürüyor. Bu saldırılar, saldırganların kök seviyesinde rastgele komutlar yürütmesine ve AquaShell kalıcı arka kapıları, AquaTunnel ve Chisel tersten SSH tünel kötü amaçlı yazılımlarını ve AquaPurge adında bir günlük silme aracını dağıtmasına olanak tanıyor. Uzmanlar, bu tür saldırıların hedef aldığı cihazlarda, bazı uzaktan erişim araçları ve kalıcı tehdit mekanizmaları kullanıldığını belirtiyor.
Tehdit ve Zafiyet Analizi
Yapılan analizler, AquaTunnel ve diğer kötü amaçlı araçların daha önce başka Çin destekli hack grupları ile bağlantılı olduğunu göstermektedir. Cisco Talos, UAT-9686 grubunun kullandığı araçların ve altyapının, başka Çinli tehdit grupları ile tutarlı olduğunu değerlendirmektedir. Bu tür tehditlere karşı dikkatli olunması gerektiği vurgulanıyor.
Güvenlik Açığını Kapatma Yolunda Önlemler
Cisco, bu sıfır gün güvenlik açığına yönelik bir güvenlik güncellemesi yayınlamadığı için, yöneticilerin savunmalarını güçlendirmesini tavsiye ediyor. Yönetim, internet erişimini sınırlamak, bağlantıları güvenilir sunucularla kısıtlamak ve cihazları trafiği filtrelemek için güvenlik duvarlarının arkasında bulundurmak gibi adımları içermelidir. Ayrıca, e-posta işleme ve yönetim işlevlerinin ayrılması, web günlüklerinin anormal aktiviteler için izlenmesi ve araştırmalar için günlüklerin saklanması önerilmektedir.
Yapısal Güvenlik Önlemleri
Yöneticilerin, gereksiz hizmetleri devre dışı bırakmaları, sistemleri en son Cisco AsyncOS yazılımıyla güncel tutmaları ve SAML veya LDAP gibi güçlü kimlik doğrulama yöntemlerini benimsemeleri gerekmektedir. Varsayılan şifrelerin değiştirilmesi, yönetim trafiğini güvence altına almak için SSL veya TLS sertifikalarının kullanılması gibi adımlar da önemlidir.
İzleme ve Müdahale
Cisco, kullanıcıların cihazlarının tehlikeye girip girmediğini kontrol etmek için Cisco Teknik Destek Merkezi (TAC) ile iletişime geçmesini öneriyor. Eğer bir cihazın web yönetim arayüzü veya Spam Quarantine portu internete açık olarak tespit edilmişse, Cisco, cihazı güvenli bir konfigürasyona döndürmek için çok aşamalı bir süreç izlemeyi öneriyor. Ancak, bu mümkün değilse, TAC ile iletişim kurmak ve cihazın bağlı olduğu tehdit gruplarıyla olan etkileşimi erkenden ortadan kaldırmak hayati önem taşımaktadır.
Tüm bu bilgiler ışığında, Cisco kullanıcılarının bu sıfır gün güvenlik açığına karşı dikkatli olmaları ve gerekli önlemleri almaları son derece önemlidir. Cybersecurity alanında yaşanan bu tür gelişmeler, sistem yöneticilerini sürekli olarak güncel ve savunma yöntemlerini iyileştirmeye yönlendirmektedir.
