Rusya ve İran’a Siber Saldırı

Amerikalı bilgisayar korsanları Rusya ve İran’daki Cisco Network Switch’lerini hackledi.

header

Geçtiğimiz hafta kendilerini “JHT” olarak adlandıran yeni bir grup Rusya ve İran’daki kurumlara/kuruluşlara ait önemli sayıda Cisco cihazına saldırdı. Grup saldırı sonucunda Amerikan bayrağı (ASCII art) ve “Do not mess with our elections” cümlesini içeren bir mesaj bıraktı.

İran İletişim ve Bilgi Teknolojileri Bakanı MJ Azari Jahromi yaptığı açıklamada İran’da yaklaşık 3500 adet Cisco cihazın saldırıdan etkilendiğini belirtti. Yine aynı açıklamaya göre saldırıya uğrayan cihazların büyük bir çoğunluğu düzeltildi ve çalışır hale getirildi.

image1

Bilgisayar korsanlarının Cisco Smart Install Client’ta bulunan zafiyetlerden faydalandığı biliniyor.

Araştırmacıların açıklamasına göre Cisco Smart Install Client’ta saldırganların ekipman üzerinde tam kontrole sahip olmasını sağlayabilecek bir remote code execution açığı (CVE-2018-0171) bulunuyor.

Bilgisayar korsanlarının bahsi geçen güvenlik açığını direkt olarak exploit etmediği görülüyor çünkü bu güvenlik açığı kullanıldığında Cisco cihazlar sıfırlanıp, kullanılamaz hale getiriliyor. Ancak gerçekleştirilen bu saldırıda cihazlar kullanılamaz hale getirilmedi. Araştırmacılara göre bilgisayar korsanları güvenlik açığından faydalanarak aygıt yapılandırmasını değiştirdiler.

image2

Her ne kadar kullanılan güvenlik açığının CVE-2018-0171 olduğu düşünülse de henüz kesin bir bilgi yok. Dolayısıyla Cisco kullanıcılarının gerekli güncellemeleri yapmaları ve cihazların durumunu yakından incelemeleri gerekiyor.