Cisco kurumsal yazılımında güvenlik açığı bulunan güncellemeler

Üst düzey kurumsal çözümlerin güncelleme dağıtım sistemlerinde bile “çocukça” hatalar olabiliyor.

Ağustos ayında gerçekleşen Black Hat 2022 konferansında sistem yöneticilerinin ve güvenlik sorumlularının pratikte işine yarayacak çok fazla sunum yer almadı. Rapid7 araştırmacısı Jacob Baines’in raporu ise istisnalardan biriydi. Baines, Cisco kurumsal yazılımını analiz ederek yazılımda nasıl birden çok güvenlik açığı bulduğunu detaylı olarak anlattı. Jacob’ın bulgularına slaytlar halinde, ayrıntılı bir rapor şeklinde ve GitHub’da yardımcı programlar seti olarak ulaşabilirsiniz.

Jacob; Cisco Adaptive Security Software, Adaptive Security Device Manager ve Firepower Services Software for ASA çözümlerini etkileyen 10 sorun buldu. Bu yazılım çözümlerinin kontrol ettiği çeşitli kurumsal kullanıcılara yönelik Cisco sistemlerinin arasında donanım güvenlik duvarları ve uçtan uca güvenlik çözümleri de var. Cisco bu sorunlardan yedisini güvenlik açığı olarak tanıdı, geri kalan üçü ise sağlayıcıya göre güvenliği etkilemiyor. Rapid7, Cisco’yu Şubat/Mart 2022’de bilgilendirmiş olsa da rapor açıklandığı sırada yedi güvenlik açığından ikisi henüz kapatılmamıştı (başka birinin ise sonradan kapatıldığı söyleniyor).

Güvenlik açıkları neler?

En dikkat çeken iki güvenlik açığına göz atalım. CVE-2022-20829 güvenlik açığı, Cisco ASA yazılımında kullanılan güncelleme dağıtım metoduyla ilgili. Hata çok basit: İkili güncelleme paketleri yükleme sırasında hiç doğrulanmıyor, ne dijital imza doğrulama var ne de başka bir şey. Rapid7, Cisco ASDM ikili paketlerinin işlenirken iştenen kodu yürütecek şekilde nasıl modifiye edilebileceğini gösterdi.

Dikkate değer ikinci güvenlik açığı ise CVE-2021-1585. 2020’nin sonlarında araştırmacı Malcolm Lashley tarafından keşfedildi. Lashley, güncellemeler dağıtılırken TLS anlaşmasıyla güvenli bir bağlantı kurmak için gerekli olan sertifikanın yanlış işlendiğini buldu. Bu durum, bir saldırganın Cisco müşterilerine karşı bir “man-in-the-middle” saldırısı gerçekleştirebilmesini, yani meşru bir güncelleme kaynağını kendi kaynağıyla değiştirebilmesini sağlıyordu. Bu sayede yama yerine kötü amaçlı bir kod dağıtılıp yürütülebiliyordu. Bu güvenlik açığının ilginç bir geçmişi var. Malcolm Lashley güvenlik açığını Cisco’ya Aralık 2020’de bildirdi. Temmuz 2021’de Cisco herhangi bir yama olmaksızın güvenlik açığının ayrıntılarını yayınladı. Temmuz 2022’ye gelindiğinde ise güvenlik açığı şirket müşterilerine yönelik kurum içi portalda kapatıldı olarak işaretlendi. Rapid7 durumun hiç de böyle olmadığını ortaya koydu; bir yama varsa bile işe yaramıyordu.

Diğer güvenlik açıkları da önemsiz sayılmaz. Örneğin CVE-2022-20828 uzaktan erişimle bir sistem yöneticisine saldırmak için kullanılabiliyor. Demonstrasyonda örnek olarak potansiyel saldırganın tek bir komut girerek sisteme nasıl tam erişim elde edebildiği gösterildi. Dahası Rapid7, FirePOWER önyükleme modüllerinin hiç taranmadığını da keşfetti. Yani yazılımdaki güvenlik açıkları kapatılsa bile daha eski ve yamalanmamış bir sürümün önyükleme görüntüsünü geri yüklemek daima mümkün. Gerçek saldırılarda böyle bir sürüm düşürme kullanılması olasılığına rağmen Cisco bunu bir güvenlik sorunu olarak değerlendirmiyor.

Güncelleme dağıtımı güçlükleri

Bu güvenlik açıkları, üst düzey kurumsal çözümler içeren yazılımlarda bile güncelleme dağıtım sistemlerinin eksikleri olduğunu gösteriyor. Bir süre önce Apple cihazlara yönelik Zoom web istemcisinde de benzer bir sorundan bahsetmiştik. Güncelleme kontrol işlemi oldukça güvenli görünüyordu; sunucuya erişim güvenli bir bağlantı üstünden gerçekleştiriliyordu, güncelleme dosyası da dijital imzalıydı. Ancak imza doğrulama prosedürü, doğru yürütülebilir dosya yerine herhangi bir şeyin en yüksek ayrıcalıkla yürütülmesine izin veriyordu. “Kötü amaçlı güncellemelerin” gerçek saldırılarda kullanıldığı örnekler de var. 2018’de Kaspersky araştırmacıları Mikrotik yönlendiricilerin güvenliğini ihlal etmeye yönelik Slingshot APT saldırısında bu yöntemi tespit etmişti.

Cisco örneğinde ASDM ikili paketinin dijital imzasını doğrulamayı atlatmak bile gerekmiyor; böyle bir doğrulama yok (Ağustos 2022’de bir mekanizmanın devreye girdiği söyleniyor ama güvenilirliği henüz test edilmedi). Aslına bakılırsa Black Hat’teki araştırmacıların öne sürdüğü tüm saldırılar gerçekleştirmesi oldukça güç saldırılar. Fakat bu durumda dosya şifreleyen bir fidye yazılımı karşısında veya ticari sırların çalınması durumunda kaybedecek çok fazla şeyi olan büyük kuruluşlardan bahsettiğimiz için bu riski ciddiye almak gerekiyor.

Bu konuda ne yapılabilir

Bu güvenlik açıklarının kendine has özellikleri göz önünde bulundurulduğunda Rapid7 araştırmacılarının başlıca tavsiyesi, tam erişimli yönetici modunda çalışmayı mümkün olduğunca sınırlandırmak. Bu yalnızca altyapıya yüksek ayrıcalıklarla uzaktan bağlanmayı kapsamıyor. Maksimum çevrimdışı izolasyonla bile, kötü amaçlı güncellemelerle ya da bir güvenlik açığını kötüye kullanan basit bir kodla hacklemenin mümkün olduğunu gösteren birçok örnek var. Altyapıya tam erişimi olan kişileri dikkatle gözetim altında tutmak ve yönetici olarak gerçekleştirilen eylemleri sınırlandırmak başarılı bir saldırı olasılığını azaltmaya yardımcı olacaktır. Ancak yine de risk tamamen ortadan kalkmayacaktır.

İpuçları