Yazılım & İşletim SistemiOrta

CISA Acil Düzeltme Süresi Belirledi: Cisco Unified Communications Manager Saldırılarda Kullanılan Güvenlik Açığı

CISA, Cisco Unified Communications Manager'daki aktif olarak istismar edilen güvenlik açığını düzeltmek için federal kurumlara acil bir süre veriyor. Detaylı çözüm adımları ve komutlar burada.

B
Bleeping Computer Tutorials
1 görüntülenme
CISA Acil Düzeltme Süresi Belirledi: Cisco Unified Communications Manager Saldırılarda Kullanılan Güvenlik Açığı

Giriş

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumlara Cisco Unified Communications Manager (CUCM) Server yazılımındaki bir güvenlik açığını düzeltmeleri için acil bir süre vermektedir. Bu açıklık, aktif olarak saldırılarda kullanıldığı tespit edilen CVE-2024-20273 olarak adlandırılan bir zafiyettir. Saldırganlar, bu açıklığı kullanarak uzaktan kod yürütme (RCE) gerçekleştirmekte ve sistemlere yetkisiz erişim sağlamaktadır.

Güvenlik Açığı Tanımı

Etkilenen Sistemler

Aşağıdaki Cisco Unified Communications Manager (CUCM) sürümleri bu güvenlik açığından etkilenmektedir:

  • Cisco Unified Communications Manager 14
  • Cisco Unified Communications Manager 12.5(1) ve üzeri
  • Cisco Unified Communications Manager 11.5(1) ve üzeri

Zafiyetin Nedenleri

Bu güvenlik açığı, Cisco Unified Communications Manager'in Web Sunucu bileşenindeki doğrulama eksikliğinden kaynaklanmaktadır. Saldırganlar, özel olarak hazırlanmış bir HTTP isteği göndererek arbitrary command execution (keyfi komut çalıştırma) gerçekleştirebilmektedir. Bu durum, saldırganlara sistem üzerinde tam kontrol sağlayabilmektedir.

Risk Değerlendirmesi

Etki Seviyesi

Bu güvenlik açığının CVSS v3.1 puanı 9.8/10 olarak belirlenmiştir, bu da kritik seviyede bir risk olduğunu göstermektedir. Etkilenen sistemler aşağıdaki risklere maruz kalmaktadır:

  • Uzaktan kod yürütme (RCE) saldırıları
  • Yetkisiz veri erişimi ve sızdırılması
  • Sistemlerin tamamen ele geçirilmesi
  • Hizmet reddi (DoS) saldırıları

Tehdit Aktörleri

Bu açıklık, aşağıdaki tehdit aktörleri tarafından aktif olarak istismar edilmektedir:

  • State-sponsored hackers (devlet destekli saldırganlar)
  • Cybercriminal groups (siber suç örgütleri)
  • Advanced Persistent Threats (APTs) (gelişmiş kalıcı tehditler)

Çözüm Adımları

Adım 1: Mevcut Sürümün Kontrol Edilmesi

Öncelikle, sisteminizin hangi Cisco Unified Communications Manager sürümünü kullandığını doğrulayın. Aşağıdaki komutları kullanarak mevcut sürümü kontrol edebilirsiniz:

admin: show version active
Cisco Unified Communications Manager Version: 14.0.1.1000-1

Adım 2: Yama Uygulanması

Cisco, bu güvenlik açığını Cisco Unified Communications Manager 14.0.1.13900-16 ve üzeri sürümlerinde düzeltmiştir. Aşağıdaki adımları izleyerek yamayı uygulayabilirsiniz:

  1. Yedekleme Yapın: Sistem yedeği alın. Bu işlem sırasında olası veri kaybını önlemek için utils system backup komutunu kullanın. 
    admin: utils system backup
  2. Yamayı İndirin: Cisco Support web sitesinden Cisco Unified Communications Manager 14.0.1.13900-16 yamasını indirin.
  3. Yamayı Uygulayın: Yama dosyasını utils system upgrade komutu ile uygulayın. 
    admin: utils system upgrade initiate
  4. Sistemi Yeniden Başlatın: Yama uygulandıktan sonra sistemi yeniden başlatın. 
    admin: utils system restart now

Adım 3: Doğrulama İşlemleri

Yama uygulandıktan sonra aşağıdaki kontrolleri yaparak sisteminizin güvenli olduğunu doğrulayın:

  1. Sürüm Kontrolü: Sisteminizin yeni yamalı sürümde olduğunu doğrulayın. 
    admin: show version active
  2. Güvenlik Açığının Kontrolü: Cisco'nun yayınladığı güvenlik danışmanlığında belirtilen CVE-2024-20273 açıklığının kapatıldığını doğrulayın.
  3. Sistem Loglarının İncelenmesi: Saldırı girişimlerinin olmadığını doğrulamak için sistem loglarını inceleyin. 
    admin: file view activelog syslog/CiscoSyslog

Alternatif Çözümler (Geçici Önlemler)

Güvenlik Duvarı Kuralları

Eğer yama uygulama sürecinde gecikme yaşanıyorsa, aşağıdaki geçici önlemler uygulanabilir:

  • Web Sunucu Erişiminin Kısıtlanması: Cisco Unified Communications Manager Web Sunucu bileşenine sadece güvenilir IP adreslerinden erişim izni verin.
  • Giriş Denetimlerinin Güçlendirilmesi: Güçlü parola politikaları uygulayın ve çok faktörlü kimlik doğrulamasını (MFA) etkinleştirin.

Sistem İzolasyonu

Eğer sisteminizde saldırı tespit edildiğinde, aşağıdaki adımları izleyerek sisteminizi izole edebilirsiniz:

  1. Sistemi Ağdan Ayırın: Sisteminizi fiziksel veya sanal olarak ağdan ayırın.
  2. Güvenlik Loglarını Toplayın: Saldırı girişimlerini belgeleyin ve Cisco ile paylaşın.

İpuçları ve Uyarılar

⚠️ Önemli Uyarı: Bu güvenlik açığı aktif olarak istismar edilmektedir. Lütfen mümkün olan en kısa sürede yamayı uygulayın. Eğer yama uygulama sürecinde herhangi bir sorun yaşarsanız, Cisco Destek Hattı ile iletişime geçin.

💡 İpucu: Yedeklemelerinizi düzenli olarak alın ve test edin. Bu, olası bir saldırı durumunda sisteminizi hızlıca kurtarmanıza yardımcı olacaktır.

🔍 İzleme: Sistem loglarını sürekli olarak izleyin. Anormal aktiviteleri erken tespit etmek için Cisco Secure Network Analytics (Stealthwatch) gibi araçlar kullanabilirsiniz.

Sonuç

CVE-2024-20273 güvenlik açığı, Cisco Unified Communications Manager kullanıcıları için ciddi bir tehdit oluşturmaktadır. CISA'nın belirlediği acil süreye uygun olarak, yamayı mümkün olan en kısa sürede uygulamak hayati önem taşımaktadır. Bu kılavuzda yer alan adımları takip ederek sisteminizi koruyabilir ve saldırılara karşı dirençli hale getirebilirsiniz. Unutmayın, güvenlik açıklarının zamanında kapatılması, siber tehditlere karşı en etkili savunma yöntemidir.

İlgili Makaleler