يستغل المتسللون برنامج Zero-day لاختراق عشرات الآلاف من أجهزة Cisco
حذر باحثون من أن المتسللين استغلوا ثغرة أمنية غير مسبوقة في برنامج شبكات Cisco لاختراق عشرات الآلاف من الأجهزة.
أصدرت شركة Cisco يوم الاثنين تحذيرًا استشاريًا من أن الثغرة الأمنية ذات التصنيف الحرج في نظام التشغيل IOS XE، البرنامج الذي يشغل مجموعة أجهزة الشبكات الخاصة بالشركة، يتم استغلالها بشكل نشط من قبل المتسللين. وقالت شركة سيسكو إنه تم العثور على الخلل في واجهة إدارة الويب IOS XE، والتي يمكن استغلالها عندما يتعرض الجهاز المتأثر للإنترنت.
تتضمن قائمة الأجهزة التي تقوم بتشغيل برنامج Cisco IOS XE محولات المؤسسات ووحدات التحكم اللاسلكية ونقاط الوصول وأجهزة التوجيه الصناعية، والتي تستخدمها الشركات والمؤسسات الصغيرة لإدارة أمان شبكاتها.
وفي تدوينة منفصلة، قال Talos، ذراع استخبارات التهديدات التابع لشركة Cisco، إن قراصنة لم يتم التعرف عليهم حتى الآن يستغلون الثغرة – المعروفة باسم Zero-day، وهي نوع من الثغرات الأمنية التي اكتشفها المهاجمون قبل أن يتوفر لدى البائع الوقت لإصلاحها – منذ ذلك الحين على الأقل في 18 سبتمبر. قالت شركة Cisco Talos إن الاستغلال الناجح يمنح المهاجم “السيطرة الكاملة على الجهاز المخترق” مما يسمح “بنشاط لاحق غير مصرح به محتمل” على شبكة الشركة الضحية.
ولم تعلق شركة Cisco بعد على حجم الاستغلال.
ومع ذلك، يقول Censys، وهو محرك بحث للأجهزة والأصول المتصلة بالإنترنت، إنه لاحظ ما يقرب من 42000 جهاز من أجهزة Cisco مخترقة اعتبارًا من 18 أكتوبر، مشيرًا إلى “زيادة حادة” في الإصابات مقارنة باليوم السابق.
وفي تحليلها للخلل، تقول Censys إن غالبية الأجهزة المخترقة تقع في الولايات المتحدة، تليها الفلبين والمكسيك. وقالت Censys إن المتسللين يستهدفون شركات الاتصالات التي تقدم خدمات الإنترنت لكل من المنازل والشركات.
وقال باحثو Censys: “نتيجة لذلك، فإن الأهداف الأساسية لهذه الثغرة الأمنية ليست الشركات الكبيرة، بل الكيانات الصغيرة والأفراد الأكثر عرضة للخطر”.
التصحيح صفر ليوم الصفر
لم تقم شركة Cisco حتى الآن بإصدار تصحيح لثغرة اليوم صفر، والتي حصلت على الحد الأقصى لتصنيف الخطورة وهو 10.0. وقالت المتحدثة باسم شركة Cisco، أليسا مارتن، التي تمثل الشركة عبر وكالة خارجية، لـ TechCrunch أن الشركة “تعمل دون توقف لتوفير إصلاح للبرنامج”، لكنها رفضت تحديد متى سيتم توفير التصحيح.
ولم يُعرف بعد عدد الأجهزة التي يحتمل أن تكون معرضة للخطر، لكن Cisco قالت في تحذيرها إن يوم الصفر أثر على كل من الأجهزة المادية والافتراضية التي تعمل ببرنامج IOS XE والتي تم تمكين ميزة خادم HTTP أو HTTPS عليها. وبدلاً من التصحيح، توصي Cisco “بشدة” العملاء بتعطيل ميزة خادم HTTP على جميع الأنظمة التي تواجه الإنترنت.
ومن غير الواضح أيضًا من الذي يستغل الثغرة الأمنية. وقالت شركة Cisco Talos إنه بعد اكتشاف الاستغلال الأولي لـ Zero-day في سبتمبر، لاحظت نشاطًا في 12 أكتوبر تم تقييمه من قبل نفس الجهة الفاعلة. وقالت Cisco: “ربما كانت المجموعة الأولى هي المحاولة الأولية للممثل واختبار الكود الخاص به، في حين يبدو أن نشاط أكتوبر يُظهر قيام الممثل بتوسيع عمليته لتشمل إنشاء وصول مستمر عبر نشر البرنامج المزروع”.
وحذرت شركة Cisco من أن المهاجمين الذين لم يتم التعرف عليهم بعد استفادوا أيضًا من الثغرة الأمنية السابقة، CVE-2021-1435، والتي قامت شركة Cisco بتصحيحها في عام 2021، لتثبيت الغرسة بعد الوصول إلى الجهاز.
وقال الباحثون: “لقد رأينا أيضًا أجهزة مصححة بالكامل ضد CVE-2021-1435 تم تثبيت الغرسة بنجاح من خلال آلية غير محددة حتى الآن”.
بالإضافة إلى تعطيل ميزة خادم HTTP، حثت Cisco مسؤولي الأجهزة التي يحتمل أن تكون معرضة للاختراق على البحث فورًا في شبكاتهم بحثًا عن علامات الاختراق. كما تحث CISA، وكالة الأمن السيبراني التابعة للحكومة الأمريكية، الوكالات الفيدرالية على نشر إجراءات التخفيف بحلول 20 أكتوبر.
