Amerikalı bilgisayar korsanları Rusya ve İran’daki Cisco Network Switch’lerini hackledi.
Geçtiğimiz hafta kendilerini “JHT” olarak adlandıran yeni bir grup Rusya ve İran’daki kurumlara/kuruluşlara ait önemli sayıda Cisco cihazına saldırdı. Grup saldırı sonucunda Amerikan bayrağı (ASCII art) ve “Do not mess with our elections” cümlesini içeren bir mesaj bıraktı.
İran İletişim ve Bilgi Teknolojileri Bakanı MJ Azari Jahromi yaptığı açıklamada İran’da yaklaşık 3500 adet Cisco cihazın saldırıdan etkilendiğini belirtti. Yine aynı açıklamaya göre saldırıya uğrayan cihazların büyük bir çoğunluğu düzeltildi ve çalışır hale getirildi.
Bilgisayar korsanlarının Cisco Smart Install Client’ta bulunan zafiyetlerden faydalandığı biliniyor.
Araştırmacıların açıklamasına göre Cisco Smart Install Client’ta saldırganların ekipman üzerinde tam kontrole sahip olmasını sağlayabilecek bir remote code execution açığı (CVE-2018-0171) bulunuyor.
Bilgisayar korsanlarının bahsi geçen güvenlik açığını direkt olarak exploit etmediği görülüyor çünkü bu güvenlik açığı kullanıldığında Cisco cihazlar sıfırlanıp, kullanılamaz hale getiriliyor. Ancak gerçekleştirilen bu saldırıda cihazlar kullanılamaz hale getirilmedi. Araştırmacılara göre bilgisayar korsanları güvenlik açığından faydalanarak aygıt yapılandırmasını değiştirdiler.
Her ne kadar kullanılan güvenlik açığının CVE-2018-0171 olduğu düşünülse de henüz kesin bir bilgi yok. Dolayısıyla Cisco kullanıcılarının gerekli güncellemeleri yapmaları ve cihazların durumunu yakından incelemeleri gerekiyor.