Cisco Yamaları ve Çoklu Güvenlik Açıkları
Cisco günümüzde yönlendiriciler (router) ve anahtarlar (switch) dahil olmak üzere geniş bir ürün yelpazesine sahip olan bir network altyapı firmasıdır. Dünyada internete erişim sağlamak isteyen bireysel müşterilerin ya da kurumların kullandığı router, switch gibi ürünlerin çoğunluğu Cisco tarafından üretilmiştir. Her ne kadar bireysel kullanıcılar diğer aracı markaların ismine alışık olsa da aslında altyapı Cisco’dan gelir.
Cisco temel olarak internet kullanmak için internete bağlanmayı sağlayan araçları üretmektedir. Şirketinize yerel ağ kurmak istiyorsanız Cisco araçlarını ve yazılımlarını kullanmanız kaçınılmazdır.
Peki hayatımızda bu kadar önemli bir yere sahip olan Cisco ne kadar güvenli?
Cisco güvenlik açıkları çeşitli dönemlerde tespit edilmektedir ve bu güvenlik açıklarını çözmek için geliştirdiği yamalar mevcuttur. Hem internet ve network bağlantılarında donanımsal olarak sahip olduğu kritik rol sebebiyle, hem de siber güvenlik alanında çözümler sunan bir firma olması itibariyle, böyle bir güvenlik açığına sahip olması oldukça büyük ölçekteki müşterilerine kritik sorunlar yaşatabilir.
Bunlardan en ciddi probleme yol açabilecek olanı dizin geçişi saldırılarına imkân veren açıklardır. Cisco yazılımlarının global ölçekteki kullanımına bakıldığında bu güvenlik açıklarının başarılı bir şekilde kötü niyetli hackerler tarafından kullanılması halinde, kimliği doğrulanmamış ve uzaktan bir saldırganın dizin geçişine erişmesine, saldırmasına ve hedef sistemdeki önemli belgelere erişimine ve değişiklik yapmasına sebep olabilir.
Şuan herhangi bir şekilde bu açıklardan istifade edildiğine dair bir bilgi olmasa da etkilenen sistemlerin Cisco Adaptive Security Appliance version 9.14 öncesi ve Cisco Firepower Threat Defense version 6.6.0 olduğu belirtilmiştir.
Bu Cisco Güvenlik Açıkları aşağıdaki gibidir:
CVE-2020-3187: Path geçişi saldırısı
CVE-2020-3125: Kerberos anahtar dağıtımının düzgün olmayan bir şekilde kimlik doğrulama yapması sebebi ile bu doğrulama adımının atlanması
CVE-2020-3259: yazılım geçerli olmayan URL’leri ayırt ettiğinde arabellek takip sorunu oluştuğu için saldıran bir kişi hafızadan bilgileri çekebilmektedir
CVE-2020-3254: verimli olmayan bir şekilde hafıza kullanımı, Hizmet Engellemesi
CVE-2020-3196: SSL/TLS bağlantıları için düzgün olmayan bir şekilde kaynak yönetimi, Hizmet Engellemesi
CVE-2020-3298: Bazı OSPF veri paketlerini işlerken düzgün olmayan hafıza koruma mekanizmaları, Hizmet Engellemesi
CVE-2020-3191: Bazı OSPF veri paketlerinin yanlış bir şekilde işlenmesi hafıza sızıntısına neden olmakta, Hizmet Engellemesi
CVE-2020-3195: Bazı OSPF veri paketlerinin doğru bir şekilde işlenememesi, Hizmet Engellemesi
Bu açığa ne sebep oluyor?
Cisco cihazlarında bulunan açık sebebiyle tehdit şu şekilde oluşur: dizin geçişi karakter sekansları içerecek şekilde özel hazırlanmış bir HTTP isteği göndererek çeşitli bilgi erişimi, belgelerin silinmesi ve kimlik doğrulama problemleri ortaya çıkar. Cisco yetkilileri bunun URL’ler düzgün bir şekilde doğrulanmadığında görüldüğünü söylemekte ve herhangi bir AnyConnect veya Web VPN kurulu cihazın bu tehdide açık olduğunu belirtmektedir.
Mayıs ayında yayınlanan ve CVE-2020-3187 olarak isimlendirilen ve en yüksek risk skoruna sahip güvenlik zafiyeti, Pulse Connect Secure, FortiGate ve Citrix ADC gibi SSL VPN (Sanal Özel Ağ)‘lerindeki son güvenlik açıklarının yeniden ortaya çıkmasına neden olur. Mac OS için Cisco AnyConnect istemcisinin programı kaldırma sihirbazlarındaki bir güvenlik açığı, kimliği doğrulanmış, yerel ağdaki bir saldırganın mevcut sistemde yer alan bir dosyanın içeriğini bozmasına izin verebilir. Güvenlik açığı, dizin geçişlerinin yine yanlış bir biçimde işlenmesinden kaynaklanmaktadır. Eğer bu saldırı belirli bir path üzerinden bir hedef dosyaya sembolik bir bağlantı oluşturursa, bu güvenlik açığından yararlanabilir. Ve sonuç olarak dosyanın içeriği bozulabilir veya silinebilir. Bu açığın büyük şirketlerin yerel ağ sistemlerinde depolanan veriler için oluşturduğu riskleri düşünürsek, olay sadece basit hatadan ibaret değil.
Cisco yetkilileri bu saldırı sonucu silinen dosyaların yeniden kurtarılabildiğini belirtmiştir. Güvenlik açığı çözümü için ise çeşitli yamalar yayınlamıştır. Önerimiz, Cisco Teknik Yardım Merkezi’nin yönlendirmeleri ile ilgili testleri yaptıktan sonra hızlı bir şekilde yamaları uygulamanız ve riski azaltan önlemleri almanız olacaktır.
Cisco Webex Güvenlik Açığı
Bir önceki güvenlik zafiyeti ise mart ayında ortaya çıkan Cisco Webex Player ve Cisco Webex Network Recording Player yazılımlarının plansız bir şekilde kodların işletilmesine izin vermesiydi. Normalde Cisco Webex yazılımı kurumsal ihtiyaçlara yönelik hizmetler ve uçtan uca şifreleme içermektedir. Ancak bu şifreleme özelliği varsayılan ayarlarda kapalı geliyor. İstek üzerine aktif hale getiriliyor ve programın işlevselliğini biraz sınırlandırıyor ancak genel olarak işletmeniz Webex’ i hassas bilgilerin paylaşıldığı toplantılar için kullanıyorsa mutlaka aktif hale getirilmesi gereken bir özellik.
Cisco Webex Teams ise sadece belgeleri ve metin yazışmalarını şifreliyor. Yani bu demek oluyor ki video ve sesli görüşmeler zaten Cisco sunucularında çözümlenebiliyor, bu da yazılımı kendi doğal özelliği gereği siber suçlara karşı hassas bir pozisyona getiriyor. Geçtiğimiz yıl Webex Teams istemcisinde ciddi bir sorunla karşılaşılmıştı ve gerekli güncel yamalar yayınlanmıştı. Ve ayrıca Cisco SecureX gibi yeni bir platform yayınlayarak güvenlik tehditlerini tespit eden ve daha güvenli bir kullanıcı deneyimi sunan güçlendirici bir bulut çözüm ve mevcuttaki tüm Cisco ürünlerine dahil olarak sunuluyor. Cisco’nun yaşanan güvenlik açıklarını ve kurumsal firmaların azalan güvenlerini telafi etmek için çaba harcadığı kesin.
Bu yıl yaşanan güvenlik zafiyetinde ise kimliği doğrulanmamış ve sisteme uzaktan erişen bir saldırgan hedeflediği kullanıcının sisteminde rastgele bir biçimde kod üretebilir ve işleyebilir. Webex toplantı hizmeti, Cisco Webex tarafından sunulan, barındırılan, işlenen ve yönetilen bir video konferans çözümüdür. Webex Player ve Network Recording Player, kaydedilen görüşme dosyalarını Windows Media Video, Flash veya MP4 gibi bilinen formatlara dönüştürmek ve saklamak için kullanılır. Webex player ise kaydedilmiş toplantıların dosyalarını izlemek, üzerinde değişlik yapmak ve tekrar oynatmak için kullanılır. Kurumsal bir çözüm olarak oldukça pratik avantajlar sunsa dahi, böyle bir özelliğin bir güvenlik açığına dönüşmesi, oldukça özel dosyaların da kötü niyetli kişiler tarafından kullanılmasını olası kılıyor. Bu güvenlik açığı saldırganın kullanıcının sisteminde rasgele kod yürütmesine izin verebilir.
Kullanıcı oluştururken o hesaba atanan yetkilere bağlı olarak, dışarıdan erişen bir saldırgan istifade ettiği kullanıcı hesabı sayesinde program yükleyebilir, belgeleri görüntüleyebilir, izleyebilir, değiştirebilir ve silebilir. Ve kendine ful yetki sahibi hesaplar oluşturabilir, böylece erişimini çoğaltabilir. Hesaplarını sistemde daha az yetkiye sahip olacak şekilde yapılandırılan yazılım kullanıcıları bu güvenlik tehdidinden daha az etkilenecektir.
Bu bahsettiğimiz Cisco güvenlik açıkları büyük ve orta derecedeki devlet kurumları ve işletmeleri için büyük risk oluştururken ortalama ev kullanıcıları için daha düşük bir risk oluşturmaktaydı.
Çözüm önerisi olarak;
Uygun testleri yaptıktan sonra Cisco Teknik Yardım Merkezinin yönergelerini dikkate alarak güncellemeyi yüklemelisiniz. Herhangi bir saldırı ihtimalinde riskler azaltmak için güncelleme sonrası sisteminizi yönetici yetkisi olmayan standart bir kullanıcı oturumu ile başlatınız. Webex sistemine dahil olan diğer kullanıcılara bilinmeyen ya da güvenilmeyen kaynaklardan gelen WebSite linklerine ya da dosyalarına tıklamamaları ve indirmemeleri gerektiğini söyleyin. Tüm kullanıcıların mail içeriklerinde veya eklerindeki dosyalarda bulunan linklere tıklamanın neden olabileceği sorunlar ve tehlikeler hakkında bilgilendirin. Hatta bu konuda personelinize bir eğitim vermeyi de düşünebilirsiniz. Ve genel olarak kullanıcılarınıza Yönetici Yetkileri atamayın, daha düşük yetkilere sahip kullanıcı hesapları oluşturmayı bir kural haline getirin.