في الأحدث في ملحمة التسوية التي تنطوي على خطأ Cisco بالغ الأهمية والذي تم استغلاله باعتباره يوم صفر بينما كان المستخدمون ينتظرون التصحيحات، أفاد العديد من الباحثين الأمنيين أنهم لاحظوا انخفاضًا حادًا في عدد أنظمة Cisco IOS XE المصابة المرئية لهم خلال نهاية الأسبوع.
أثار هذا الانخفاض مجموعة من النظريات حول السبب، لكن باحثين من Fox-IT في 23 أكتوبر حددوا السبب الحقيقي على أنه يتعلق بقيام المهاجم ببساطة بتغيير الغرسة، لذلك لم يعد مرئيًا عبر طرق أخذ البصمات السابقة.
على سبيل الخلفية: الخطأ الرئيسي المستخدم في سلسلة الاستغلال موجود في واجهة مستخدم الويب لنظام IOS XE (CVE-2023-20198). وهو يحتل المرتبة 10 من أصل 10 على مقياس خطورة الثغرات الأمنية في CVSS، ويمنح المهاجمين غير المصادقين طريقة للوصول الأولي إلى الأجهزة المتأثرة وإنشاء حسابات مستخدمين محلية مستمرة عليها.
تتضمن طريقة الاستغلال أيضًا يوم الصفر الثاني (CVE-2023-20273)، والتي اكتشفتها شركة Cisco فقط أثناء التحقيق في المشكلة الأولى، والتي تسمح للمهاجم برفع امتيازات الوصول إلى الجذر وكتابة عملية زرع على نظام الملفات. صدرت سيسكو الإصدارات المحدثة من IOS XE معالجة العيوب في 22 أكتوبر، بعد أيام من الكشف عنها، مما يمنح المهاجمين السيبرانيين فرصة كبيرة لملاحقة جحافل من الأنظمة غير المصححة.
التراجع المفاجئ في الأنظمة المعرضة للخطر
واتبعهم فعلوا. أفاد باحثون أمنيون يستخدمون Shodan وCensys وأدوات أخرى الأسبوع الماضي أنهم لاحظوا ما يبدو أنه جهة تهديد واحدة إصابة عشرات الآلاف من أجهزة Cisco IOS XE المتأثرة مع زرع لتنفيذ التعليمات البرمجية التعسفية. عمليات الزرع ليست مستمرة، مما يعني أنها لن تنجو من إعادة تشغيل الجهاز.
أدى الانخفاض المفاجئ والمثير خلال عطلة نهاية الأسبوع في عدد الأنظمة المخترقة المرئية للباحثين إلى تكهن البعض بما إذا كان هاكر غير معروف ذو قبعة رمادية قد دخل بهدوء إزالة غرسة المهاجم من الأنظمة المصابة وتساءل آخرون عما إذا كان المهاجم قد انتقل إلى هناك مرحلة استغلال أخرى، أو كان يفعل شيئا من هذا القبيل عملية التنظيف لإخفاء الزرع. وهناك نظرية أخرى مفادها أن المهاجم كان يستخدم الغرسة لإعادة تشغيل الأنظمة للتخلص من الغرسة.
ولكن اتضح أن ما يقرب من 38,000 لا تزال معرضة للاختراق من خلال الخللين اللذين تم الكشف عنهما مؤخرًا في نظام التشغيل، إذا كان المرء يعرف أين يبحث.
تم تغيير عملية زرع سيسكو
"لقد لاحظنا أن عملية الزرع التي تم وضعها على عشرات الآلاف من أجهزة Cisco قد تم تعديلها للتحقق من قيمة رأس ترخيص HTTP قبل الاستجابة"، قال باحثو Fox-IT في X، المنصة المعروفة سابقًا باسم تويتر. "وهذا يفسر الانخفاض الذي نوقش كثيرًا في الأنظمة المخترقة التي تم تحديدها في الأيام الأخيرة."
ومن خلال استخدام طريقة أخرى لبصمات الأصابع للبحث عن الأنظمة المخترقة، قالت Fox-IT إنها حددت 37,890 جهازًا لا يزال المهاجمون يزرعونها عليها.
وأضافت الشركة: "ننصح بشدة كل من لديه واجهة مستخدم Cisco IOS XE WebUI مكشوفة على الإنترنت بإجراء فرز جنائي"، مشيرة إلى أن الاستشارة على جيثب لتحديد الأنظمة المعرضة للخطر.
باحثون من فولنشيك الذين أبلغوا الأسبوع الماضي عن رؤية الآلاف من الأنظمة المصابة، كانوا من بين أولئك الذين اكتشفوا أن الأجهزة المخترقة تختفي فجأة عن الأنظار خلال عطلة نهاية الأسبوع. يقول مدير التكنولوجيا التنفيذي جاكوب بينز، الذي كان في البداية من بين أولئك الذين لم يكونوا متأكدين مما قد يحدث، إن وجهة نظر Fox-IT بشأن ما حدث صحيحة.
يقول بينز: "خلال عطلة نهاية الأسبوع، غيّر المهاجمون طريقة الوصول إلى الغرسة، لذا لم تعد طريقة المسح القديمة قابلة للاستخدام". "لقد قمنا مؤخرًا بتغيير الماسح الضوئي الخاص بنا لاستخدام الطريقة الجديدة التي أظهرتها شركة Fox-IT، ونحن نشهد بشكل أساسي ما رأيناه في الأسبوع الماضي: الآلاف من الأجهزة المزروعة."
سيسكو تحديث إرشاداته للكشف عن عملية الزرع في 23 أكتوبر. وفي بيان لـ Dark Reading، قالت الشركة إنها أصدرت مؤشرات الاختراق الجديدة بعد الكشف عن نسخة مختلفة من عملية الزرع التي تعيق تحديد الأنظمة المخترقة. وقالت الشركة: "نحث العملاء بشدة على تنفيذ الإرشادات وتثبيت الإصلاح الأمني الموضح في الاستشارات الأمنية المحدثة لشركة Cisco ومدونة Talos".
دوافع المهاجمين السيبرانيين المحيرة
يقول بينز إن دافع المهاجم لتغيير الغرسة أمر محير وغير متوقع على الإطلاق. "أعتقد أنه من الطبيعي أنه عندما يتم القبض على أحد المهاجمين، فإنهم يصمتون ويعيدون النظر في الأنظمة المتضررة عندما يهدأ الغبار."
وفي هذه الحالة، يحاول المهاجم الحفاظ على إمكانية الوصول إلى البرامج المزروعة التي تعرف الآن العشرات من شركات الأمن بوجودها.
يقول بينز: "بالنسبة لي، يبدو الأمر وكأنها لعبة لا يمكنهم الفوز بها". "يبدو أن تحديث اسم المستخدم/كلمة المرور هذا يجب أن يكون حلًا قصير المدى حتى يتمكنوا إما من الاحتفاظ بالأنظمة لبضعة أيام أخرى - وتحقيق أي هدف - أو مجرد حل مؤقت حتى يتمكنوا من إدخال غرسة أكثر تخفيًا."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/remote-workforce/cyberattackers-alter-implant-30k-compromised-cisco-ios-xe-devices
- :لديها
- :يكون
- :ليس
- :أين
- 000
- 10
- 22
- 23
- 30k
- 7
- a
- من نحن
- الوصول
- الوصول
- إنجاز
- الحسابات
- وأضاف
- معالجة
- تقديم المشورة لك
- استشاري
- تتأثر
- بعد
- يسمح
- أيضا
- تغيير
- من بين
- an
- و
- آخر
- ظهر
- هي
- AS
- محاولة
- ترخيص
- خلفية
- BE
- كان
- قبل
- يجري
- المدونة
- علة
- البق
- لكن
- by
- CAN
- حقيبة
- اشتعلت
- تسبب
- سلسلة
- غير
- التحقق
- سيسكو
- الكود
- الشركات
- حول الشركة
- تماما
- حل وسط
- تسوية
- إخفاء
- تصحيح
- خلق
- CTO
- العملاء
- غامق
- قراءة مظلمة
- أيام
- رفض
- تظاهر
- جهاز
- الأجهزة
- فعل
- تختفي
- إفشاء
- اكتشف
- do
- فعل
- عشرات
- بشكل كبير
- قطرة
- غبار
- إما
- رفع
- أساسيا
- كل شخص
- يوجد
- ويوضح
- استغلال
- استغلال
- مكشوف
- قليل
- قم بتقديم
- البصمات
- الاسم الأول
- حل
- العيوب
- في حالة
- الطب الشرعي
- سابقا
- وجدت
- تبدأ من
- ربح
- لعبة
- دولار فقط واحصل على خصم XNUMX% على جميع
- يعطي
- إعطاء
- Go
- هدف
- توجيه
- القراصنة
- كان
- حدث
- يملك
- وجود
- المعوقات
- عقد
- HTTP
- HTTPS
- i
- هوية
- محدد
- تحديد
- if
- تنفيذ
- in
- من مؤشرات
- في البداية
- في البداية
- تثبيت
- Internet
- التحقيق
- تنطوي
- آيفون
- IT
- انها
- JPG
- م
- علم
- معروف
- يعرف
- اسم العائلة
- آخر
- مثل
- محلي
- يعد
- بحث
- الرئيسية
- المحافظة
- me
- معنى
- طريقة
- طرق
- ربما
- الأكثر من ذلك
- التحفيز
- انتقل
- يجب
- تقريبا
- جديد
- لا
- عادة
- الآن
- عدد
- أكتوبر
- شهر اكتوبر
- of
- قديم
- on
- ONE
- فقط
- تعمل
- نظام التشغيل
- الفرصة
- or
- أخرى
- أخرى
- لنا
- خارج
- أوجز
- على مدى
- بقع
- نفذ
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- انهار
- سابق
- الامتيازات
- بهدوء
- نطاق
- الرتب
- نادي القراءة
- حقيقي
- سبب
- الأخيرة
- مؤخرا
- صدر
- لا تزال
- وذكرت
- الباحثين
- الاستجابة
- تخلص من
- جذر
- s
- الملحمة
- قال
- رأى
- يقول
- حجم
- مسح
- الثاني
- أمن
- رؤية
- يبدو
- التسوية (Settled)
- عدة
- حاد
- المدى القصير
- ببساطة
- عزباء
- So
- بعض
- أثار
- ملخص الحساب
- مسترق
- لا يزال
- بقوة
- مفاجئ
- البقاء على قيد الحياة
- نظام
- أنظمة
- أخذ
- تالوس
- عشرات
- أن
- •
- منهم
- نظرية
- هم
- اعتقد
- هؤلاء
- الآلاف
- التهديد
- إلى
- أدوات
- يتحول
- أو تويتر
- اثنان
- ui
- غير متوقع
- غير معروف
- حتى
- تحديث
- تحديث
- صالح للإستعمال
- تستخدم
- مستعمل
- مستخدم
- المستخدمين
- استخدام
- قيمنا
- متنوع
- Ve
- الإصدارات
- بواسطة
- المزيد
- مرئي
- وكان
- طريق..
- we
- الويب
- أسبوع
- نهاية الأسبوع
- كان
- ابحث عن
- أيا كان
- متى
- التي
- في حين
- من الذى
- لماذا
- كسب
- مع
- وون
- اكتب
- زفيرنت