يقوم المهاجمون السيبرانيون بتغيير عملية الزرع على 30 ألف جهاز من أجهزة Cisco IOS XE المعرضة للخطر

في الأحدث في ملحمة التسوية التي تنطوي على خطأ Cisco بالغ الأهمية والذي تم استغلاله باعتباره يوم صفر بينما كان المستخدمون ينتظرون التصحيحات، أفاد العديد من الباحثين الأمنيين أنهم لاحظوا انخفاضًا حادًا في عدد أنظمة Cisco IOS XE المصابة المرئية لهم خلال نهاية الأسبوع. 

أثار هذا الانخفاض مجموعة من النظريات حول السبب، لكن باحثين من Fox-IT في 23 أكتوبر حددوا السبب الحقيقي على أنه يتعلق بقيام المهاجم ببساطة بتغيير الغرسة، لذلك لم يعد مرئيًا عبر طرق أخذ البصمات السابقة.

على سبيل الخلفية: الخطأ الرئيسي المستخدم في سلسلة الاستغلال موجود في واجهة مستخدم الويب لنظام IOS XE (CVE-2023-20198). وهو يحتل المرتبة 10 من أصل 10 على مقياس خطورة الثغرات الأمنية في CVSS، ويمنح المهاجمين غير المصادقين طريقة للوصول الأولي إلى الأجهزة المتأثرة وإنشاء حسابات مستخدمين محلية مستمرة عليها. 

تتضمن طريقة الاستغلال أيضًا يوم الصفر الثاني (CVE-2023-20273)، والتي اكتشفتها شركة Cisco فقط أثناء التحقيق في المشكلة الأولى، والتي تسمح للمهاجم برفع امتيازات الوصول إلى الجذر وكتابة عملية زرع على نظام الملفات. صدرت سيسكو الإصدارات المحدثة من IOS XE معالجة العيوب في 22 أكتوبر، بعد أيام من الكشف عنها، مما يمنح المهاجمين السيبرانيين فرصة كبيرة لملاحقة جحافل من الأنظمة غير المصححة.

التراجع المفاجئ في الأنظمة المعرضة للخطر

واتبعهم فعلوا. أفاد باحثون أمنيون يستخدمون Shodan وCensys وأدوات أخرى الأسبوع الماضي أنهم لاحظوا ما يبدو أنه جهة تهديد واحدة إصابة عشرات الآلاف من أجهزة Cisco IOS XE المتأثرة مع زرع لتنفيذ التعليمات البرمجية التعسفية. عمليات الزرع ليست مستمرة، مما يعني أنها لن تنجو من إعادة تشغيل الجهاز.

أدى الانخفاض المفاجئ والمثير خلال عطلة نهاية الأسبوع في عدد الأنظمة المخترقة المرئية للباحثين إلى تكهن البعض بما إذا كان هاكر غير معروف ذو قبعة رمادية قد دخل بهدوء إزالة غرسة المهاجم من الأنظمة المصابة وتساءل آخرون عما إذا كان المهاجم قد انتقل إلى هناك مرحلة استغلال أخرى، أو كان يفعل شيئا من هذا القبيل عملية التنظيف لإخفاء الزرع. وهناك نظرية أخرى مفادها أن المهاجم كان يستخدم الغرسة لإعادة تشغيل الأنظمة للتخلص من الغرسة.

ولكن اتضح أن ما يقرب من 38,000 لا تزال معرضة للاختراق من خلال الخللين اللذين تم الكشف عنهما مؤخرًا في نظام التشغيل، إذا كان المرء يعرف أين يبحث.

تم تغيير عملية زرع سيسكو

"لقد لاحظنا أن عملية الزرع التي تم وضعها على عشرات الآلاف من أجهزة Cisco قد تم تعديلها للتحقق من قيمة رأس ترخيص HTTP قبل الاستجابة"، قال باحثو Fox-IT في X، المنصة المعروفة سابقًا باسم تويتر. "وهذا يفسر الانخفاض الذي نوقش كثيرًا في الأنظمة المخترقة التي تم تحديدها في الأيام الأخيرة." 

ومن خلال استخدام طريقة أخرى لبصمات الأصابع للبحث عن الأنظمة المخترقة، قالت Fox-IT إنها حددت 37,890 جهازًا لا يزال المهاجمون يزرعونها عليها. 

وأضافت الشركة: "ننصح بشدة كل من لديه واجهة مستخدم Cisco IOS XE WebUI مكشوفة على الإنترنت بإجراء فرز جنائي"، مشيرة إلى أن الاستشارة على جيثب لتحديد الأنظمة المعرضة للخطر.

باحثون من فولنشيك الذين أبلغوا الأسبوع الماضي عن رؤية الآلاف من الأنظمة المصابة، كانوا من بين أولئك الذين اكتشفوا أن الأجهزة المخترقة تختفي فجأة عن الأنظار خلال عطلة نهاية الأسبوع. يقول مدير التكنولوجيا التنفيذي جاكوب بينز، الذي كان في البداية من بين أولئك الذين لم يكونوا متأكدين مما قد يحدث، إن وجهة نظر Fox-IT بشأن ما حدث صحيحة.

يقول بينز: "خلال عطلة نهاية الأسبوع، غيّر المهاجمون طريقة الوصول إلى الغرسة، لذا لم تعد طريقة المسح القديمة قابلة للاستخدام". "لقد قمنا مؤخرًا بتغيير الماسح الضوئي الخاص بنا لاستخدام الطريقة الجديدة التي أظهرتها شركة Fox-IT، ونحن نشهد بشكل أساسي ما رأيناه في الأسبوع الماضي: الآلاف من الأجهزة المزروعة."

سيسكو تحديث إرشاداته للكشف عن عملية الزرع في 23 أكتوبر. وفي بيان لـ Dark Reading، قالت الشركة إنها أصدرت مؤشرات الاختراق الجديدة بعد الكشف عن نسخة مختلفة من عملية الزرع التي تعيق تحديد الأنظمة المخترقة. وقالت الشركة: "نحث العملاء بشدة على تنفيذ الإرشادات وتثبيت الإصلاح الأمني ​​الموضح في الاستشارات الأمنية المحدثة لشركة Cisco ومدونة Talos".

دوافع المهاجمين السيبرانيين المحيرة

يقول بينز إن دافع المهاجم لتغيير الغرسة أمر محير وغير متوقع على الإطلاق. "أعتقد أنه من الطبيعي أنه عندما يتم القبض على أحد المهاجمين، فإنهم يصمتون ويعيدون النظر في الأنظمة المتضررة عندما يهدأ الغبار."

وفي هذه الحالة، يحاول المهاجم الحفاظ على إمكانية الوصول إلى البرامج المزروعة التي تعرف الآن العشرات من شركات الأمن بوجودها. 

يقول بينز: "بالنسبة لي، يبدو الأمر وكأنها لعبة لا يمكنهم الفوز بها". "يبدو أن تحديث اسم المستخدم/كلمة المرور هذا يجب أن يكون حلًا قصير المدى حتى يتمكنوا إما من الاحتفاظ بالأنظمة لبضعة أيام أخرى - وتحقيق أي هدف - أو مجرد حل مؤقت حتى يتمكنوا من إدخال غرسة أكثر تخفيًا."

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/remote-workforce/cyberattackers-alter-implant-30k-compromised-cisco-ios-xe-devices