سائبر حملہ آوروں نے 30K سمجھوتہ شدہ Cisco IOS XE آلات پر امپلانٹ کو تبدیل کیا

سمجھوتہ کی تازہ ترین کہانی میں جس میں زیادہ سے زیادہ اہم Cisco بگ شامل ہے جس کا استعمال صفر دن کے طور پر کیا گیا ہے کیونکہ صارفین پیچ کے انتظار میں تھے، کئی سیکورٹی محققین نے رپورٹ کیا ہے کہ ان کو نظر آنے والے سسکو IOS XE سسٹمز کی تعداد میں تیزی سے کمی دیکھی گئی ہے۔ ہفتے کے آخر میں. 

ڈراپ نے بہت سے نظریات کو جنم دیا کہ کیوں، لیکن 23 اکتوبر کو Fox-IT کے محققین نے اصل وجہ کی نشاندہی کی کہ حملہ آور کا محض امپلانٹ میں ردوبدل کرنا تھا، لہذا یہ فنگر پرنٹنگ کے پچھلے طریقوں سے اب نظر نہیں آتا۔

پس منظر کے لحاظ سے: ایکسپلائٹ چین میں استعمال ہونے والا اہم بگ IOS XE کے ویب UI میں موجود ہے (CVE-2023-20198)۔ یہ CVSS خطرے کی شدت کے پیمانے پر 10 میں سے 10 نمبر پر ہے، اور غیر تصدیق شدہ، ریموٹ حملہ آوروں کو متاثرہ آلات تک ابتدائی رسائی حاصل کرنے اور ان پر مستقل مقامی صارف اکاؤنٹس بنانے کا طریقہ فراہم کرتا ہے۔ 

استحصال کے طریقہ کار میں دوسرا صفر دن بھی شامل ہے (CVE-2023-20273)، جسے سسکو نے صرف پہلے کی تحقیقات کے دوران دریافت کیا، جو حملہ آور کو فائل سسٹم پر جڑ اور امپلانٹ لکھنے کے لیے مراعات کو بلند کرنے کی اجازت دیتا ہے۔ سسکو نے جاری کیا۔ IOS XE کے تازہ ترین ورژن انکشاف کے چند دن بعد، 22 اکتوبر کو خامیوں کو دور کرتے ہوئے، سائبر حملہ آوروں کو بے ترتیب نظاموں کے لشکروں کے پیچھے جانے کا کافی موقع فراہم کیا۔

سمجھوتہ شدہ نظاموں میں اچانک کمی

اور ان کے پیچھے جاؤ جو انہوں نے کیا تھا۔ پچھلے ہفتے شوڈن، سنسیس اور دیگر ٹولز کا استعمال کرتے ہوئے سیکیورٹی محققین نے رپورٹ کیا کہ ایسا کیا نظر آتا ہے جو ایک ہی خطرہ اداکار ہے۔ دسیوں ہزار متاثرہ Cisco IOS XE آلات کو متاثر کرنا صوابدیدی کوڈ پر عمل درآمد کے لیے ایک امپلانٹ کے ساتھ۔ امپلانٹس مستقل نہیں ہوتے ہیں، مطلب یہ ہے کہ وہ ڈیوائس کے دوبارہ شروع ہونے سے زندہ نہیں رہیں گے۔

ہفتے کے آخر میں محققین کو نظر آنے والے کمپرومائزڈ سسٹمز کی تعداد میں اچانک اور ڈرامائی کمی نے کچھ لوگوں کو یہ قیاس کرنے کا سبب بنایا کہ آیا کوئی نامعلوم گرے ہیٹ ہیکر خاموشی سے تھا۔ حملہ آور کے امپلانٹ کو ہٹانا متاثرہ نظاموں سے۔ دوسروں نے حیرت کا اظہار کیا کہ کیا حملہ آور وہاں چلا گیا تھا۔ استحصال کا ایک اور مرحلہ، یا کچھ کر رہا تھا۔ صفائی آپریشن امپلانٹ کو چھپانے کے لئے. ایک اور نظریہ یہ تھا کہ حملہ آور امپلانٹ سے چھٹکارا پانے کے لیے سسٹم کو ریبوٹ کرنے کے لیے امپلانٹ کا استعمال کر رہا تھا۔

لیکن یہ پتہ چلتا ہے کہ آپریٹنگ سسٹم میں حال ہی میں انکشاف کردہ دو صفر دن کے کیڑے کے ذریعے تقریباً 38,000 سمجھوتہ کیے ہوئے ہیں، اگر کوئی جانتا ہے کہ کہاں دیکھنا ہے۔

تبدیل شدہ سسکو امپلانٹ

"ہم نے مشاہدہ کیا ہے کہ دسیوں ہزار سسکو ڈیوائسز پر لگائے گئے امپلانٹ کو جواب دینے سے پہلے ایک اتھارٹی HTTP ہیڈر ویلیو کو چیک کرنے کے لیے تبدیل کر دیا گیا ہے۔" فاکس-آئی ٹی کے محققین نے X پر کہا، پلیٹ فارم جو پہلے ٹویٹر کے نام سے جانا جاتا تھا۔ "یہ حالیہ دنوں میں شناخت شدہ سمجھوتہ کرنے والے نظاموں کے بہت زیادہ زیر بحث پلمیٹ کی وضاحت کرتا ہے۔" 

سمجھوتہ کرنے والے سسٹمز کو تلاش کرنے کے لیے فنگر پرنٹنگ کا ایک اور طریقہ استعمال کرتے ہوئے، Fox-IT نے کہا کہ اس نے 37,890 ڈیوائسز کی نشاندہی کی جن پر حملہ آور ابھی تک امپلانٹ ہیں۔ 

کمپنی نے اس کی طرف اشارہ کرتے ہوئے مزید کہا، "ہم ہر اس شخص کو سختی سے مشورہ دیتے ہیں جن کے پاس (Cisco IOS XE WebUI) انٹرنیٹ کے سامنے ہے کہ وہ فرانزک ٹرائیج کرے۔" گٹ ہب پر ایڈوائزری سمجھوتہ شدہ نظاموں کی شناخت کے لیے۔

تحقیق کار VulnCheck جنہوں نے پچھلے ہفتے ہزاروں متاثرہ نظاموں کو دیکھنے کی اطلاع دی تھی، وہ ان لوگوں میں شامل تھے جنہوں نے سمجھوتہ کرنے والے آلات کو ہفتے کے آخر میں اچانک نظروں سے غائب پایا۔ سی ٹی او جیکب بینز، جو شروع میں ان لوگوں میں شامل تھے جو اس بارے میں غیر یقینی تھے کہ کیا ہوا ہو گا، کا کہنا ہے کہ جو کچھ ہوا اس پر فاکس-آئی ٹی کا موقف درست ہے۔

"ہفتہ کے آخر میں حملہ آوروں نے امپلانٹ تک رسائی کا طریقہ بدل دیا اس لیے سکیننگ کا پرانا طریقہ استعمال کے قابل نہیں رہا،" بینز کہتے ہیں۔ "ہم نے حال ہی میں Fox-IT کے ذریعہ دکھایا گیا نیا طریقہ استعمال کرنے کے لئے اپنے سکینر کو تبدیل کیا ہے، اور ہم بنیادی طور پر وہی دیکھ رہے ہیں جو ہم نے پچھلے ہفتے دیکھا: ہزاروں پرتیاروپت آلات۔"

سسکو اس کی رہنمائی کو اپ ڈیٹ کیا 23 اکتوبر کو امپلانٹ کا پتہ لگانے کے لیے۔ ڈارک ریڈنگ کو ایک بیان میں، کمپنی نے کہا کہ اس نے سمجھوتے کے نئے اشارے امپلانٹ کی ایک قسم کو بے نقاب کرنے کے بعد جاری کیے جو سمجھوتہ کرنے والے نظاموں کی شناخت میں رکاوٹ ہیں۔ کمپنی نے کہا، "ہم صارفین سے گائیڈنس کو نافذ کرنے اور سسکو کے اپ ڈیٹ کردہ سیکیورٹی ایڈوائزری اور Talos بلاگ میں بیان کردہ سیکیورٹی فکس کو انسٹال کرنے کی سختی سے تاکید کرتے ہیں۔"

حیران کن سائبر حملہ آور محرکات

بینز کا کہنا ہے کہ امپلانٹ کو تبدیل کرنے کے لیے حملہ آور کا محرک حیران کن اور مکمل طور پر غیر متوقع ہے۔ "میرے خیال میں عام طور پر، جب کوئی حملہ آور پکڑا جاتا ہے، تو وہ خاموش ہو جاتے ہیں اور دھول اُڑنے کے بعد متاثرہ نظاموں کا دوبارہ جائزہ لیتے ہیں۔"

اس معاملے میں، حملہ آور ایمپلانٹس تک رسائی کو برقرار رکھنے کی کوشش کر رہا ہے جس کے بارے میں درجنوں سیکیورٹی کمپنیاں اب جانتی ہیں۔ 

"میرے نزدیک، ایسا لگتا ہے کہ وہ ایک کھیل نہیں جیت سکتے،" بینز کہتے ہیں۔ "ایسا لگتا ہے کہ یہ صارف نام/پاس ورڈ اپ ڈیٹ ایک قلیل مدتی فکس ہونا چاہیے تاکہ وہ یا تو سسٹمز کو کچھ اور دن تک برقرار رکھ سکیں - اور جو بھی مقصد حاصل کریں - یا صرف اس وقت تک ایک اسٹاپ گیپ جب تک کہ وہ مزید چپکے سے امپلانٹ داخل نہ کر سکیں۔"

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/remote-workforce/cyberattackers-alter-implant-30k-compromised-cisco-ios-xe-devices