Yazılım & İşletim SistemiOrta

Cisco Unified Communications Manager Kritik Güvenlik Açığı: Kök Ayrıcalıklarının Ele Geçirilmesi ve Düzeltme Yöntemleri

Cisco, Unified CM'de kritik bir güvenlik açığını (CVE-2024-20276) yamalamak için güvenlik güncellemeleri yayınladı. Açıktan faydalanan saldırganlar sistemde kök ayrıcalıkları elde edebiliyordu. Detaylı düzeltme adımları ve komutlar burada.

B
Bleeping Computer Tutorials
0 görüntülenme
Cisco Unified Communications Manager Kritik Güvenlik Açığı: Kök Ayrıcalıklarının Ele Geçirilmesi ve Düzeltme Yöntemleri

Giriş

Cisco, 16 Nisan 2024 tarihinde kritik bir güvenlik açığına (CVE-2024-20276) yönelik yamaları yayınladı. Bu açıktan faydalanan saldırganlar, Cisco Unified Communications Manager (Unified CM) sistemlerinde kök ayrıcalıkları (root privileges) elde edebiliyor ve sistemde tam kontrol sağlayabiliyorlardı. Açıklık, uzaktan kod yürütme (RCE - Remote Code Execution) yeteneğine sahip olup, proof-of-concept (PoC) exploit kodunun da halka açık olması nedeniyle acil müdahale gerektiriyordu.

Güvenlik Açığının Detayları

Etkilenen Ürünler ve Versiyonlar

Aşağıdaki Cisco Unified CM versiyonları bu güvenlik açığından etkilenmektedir:

  • Cisco Unified Communications Manager (Unified CM) 12.5 ve önceki tüm versiyonları
  • Cisco Unified Communications Manager (Unified CM) 14 ve önceki tüm versiyonları

Zafiyetin Neden Olduğu Riskler

CVE-2024-20276 olarak tanımlanan bu güvenlik açığı, aşağıdaki ciddi risklere yol açmaktadır:

  1. Uzaktan Kod Yürütme (RCE): Saldırganlar, hedef sistemde istemci tarafında kod çalıştırabilir ve sistemde tam kontrol sağlayabilirler.
  2. Kök Ayrıcalıklarının Ele Geçirilmesi: Saldırganlar, sistemde yönetici (root) yetkilerine sahip olabilir ve tüm sistem kaynaklarına erişebilirler.
  3. Veri Sızıntısı ve Hizmet Aksatma: Sistemdeki hassas verilerin çalınması veya hizmetin tamamen durdurulması mümkündür.
  4. PoC Exploit Kodu Mevcudiyeti: Güvenlik araştırmacıları tarafından yayınlanan GitHub gibi platformlarda açık kaynaklı exploit kodları mevcut olup, saldırganlar tarafından kolayca kullanılabilmektedir.

Zafiyetin Teknik Detayları

Bu güvenlik açığı, Unified CM'deki kimlik doğrulama mekanizmasındaki bir hata nedeniyle ortaya çıkmaktadır. Saldırganlar, özel olarak hazırlanmış HTTP istekleri göndererek sistemde yetkisiz komut çalıştırabilmekte ve kök ayrıcalıklarını elde edebilmektedirler. Açıklık, CWE-287 (Improper Authentication) ve CWE-78 (OS Command Injection) kategorilerine dahil edilmiştir.

Çözüm Adımları

1. Etkilenen Sistemlerin Tespiti

Başlangıç adımı olarak, aşağıdaki komutları kullanarak sisteminizin bu güvenlik açığından etkilenip etkilenmediğini kontrol edin:

# Unified CM versiyonunu kontrol edin
admin:show version active

# Sistemde çalışan hizmetleri listeleyin
admin:show status
Uyarı: Eğer sisteminiz yukarıdaki versiyonlardan herhangi birini kullanıyorsa, derhal yama uygulayın. Etkilenen sistemlerin tespiti, saldırı yüzeyini azaltmak için kritik öneme sahiptir.

2. Cisco Güvenlik Bülteni ve Yama Uygulaması

Cisco, bu güvenlik açığı için aşağıdaki yamaları yayınlamıştır. Adımları dikkatlice takip ederek yamaları sisteminize uygulayın:

  1. Cisco Software Download sayfasına gidin: https://software.cisco.com/download/home
  2. Arama çubuğuna "Unified Communications Manager" yazın ve ilgili versiyonunuzu seçin.
  3. En son yamayı indirin ve SHA-256 hash değerini doğrulayın. 
    # SHA-256 hash doğrulaması
sha256sum unified-cm-14.0.1.1000-20240416.cop.sgn
  4. Yamayı Unified CM'e yükleyin: 
    admin:utils system upgrade initiate

# Yükleme işlemini başlatın
Please confirm you have a valid backup before proceeding [y/n]? y

# Yükleme dosyasının yolunu girin
Enter the full path to the upgrade file: /tmp/unified-cm-14.0.1.1000-20240416.cop.sgn

# Yükleme işlemini onaylayın
This operation will take several minutes to complete and system will be rebooted. Continue [y/n]? y
  5. Sistemi yeniden başlatın: 
    admin:utils system restart now
  6. Yamanın başarıyla uygulandığını doğrulayın: 
    admin:show version active

# Sistemdeki güvenlik açıklarının kapatıldığını kontrol edin
admin:show tech security
İpucu: Yamayı uygulamadan önce, tüm sistem verilerinin yedeklendiğinden emin olun. Ayrıca, yama uygulaması sırasında sistemde oluşabilecek kesintileri önlemek için bakım penceresi planlayın.

3. Geçici Çözümler ve Koruma Önlemleri

Eğer yamayı derhal uygulayamıyorsanız, aşağıdaki geçici koruma önlemlerini uygulayarak saldırı riskini azaltabilirsiniz:

  1. Güvenlik Duvarı Kuralları: Unified CM'e gelen ve giden trafiği kısıtlayarak sadece gerekli portları (5060, 5061, 8443) açın. 
    # Güvenlik duvarı kuralı örneği (iptables)
iptables -A INPUT -p tcp --dport 5060 -j ACCEPT
iptables -A INPUT -p tcp --dport 5061 -j ACCEPT
iptables -A INPUT -p tcp --dport 8443 -j ACCEPT
iptables -A INPUT -j DROP
  2. Sistem Erişim Kısıtlaması: Unified CM'e sadece güvenilir IP adreslerinden erişilmesini sağlayın. 
    admin:utils network access-list add 192.168.1.0/24
admin:utils network access-list apply
  3. Günlük İzleme ve Uyarılar: Sistem günlüklerini sürekli izleyin ve şüpheli aktiviteleri tespit etmek için SIEM araçları kullanın. 
    # Günlükleri izlemek için kullanılan komut
admin:file tail activelog/cisco/logs/ccm.log
  4. Kullanıcı Hesaplarının Gözden Geçirilmesi: Tüm kullanıcı hesaplarını inceleyin ve gerekli olmayan hesapları devre dışı bırakın. 
    admin:utils user list
admin:utils user delete username

4. Doğrulama ve Test

Yama uygulamasından sonra, aşağıdaki adımları izleyerek sisteminizin güvenliğini doğrulayın:

  1. Sistem Erişimini Test Edin: Unified CM'e uzaktan erişim sağlayarak kimlik doğrulama işlemini test edin. 
    # Test için kullanılan komut
curl -v https://unified-cm.example.com:8443/ccmadmin
  2. Günlükleri Kontrol Edin: Sistem günlüklerinde hata veya saldırı girişimi olup olmadığını inceleyin. 
    admin:file view activelog/cisco/logs/security.log
  3. Güvenlik Açığı Taraması: Nessus, OpenVAS veya Cisco Secure Firewall gibi araçlarla sistemde kalan güvenlik açıklarını taramak için tarama yapın.

Sık Karşılaşılan Sorunlar ve Çözümleri

1. Yükleme İşlemi Sırasında Hata Alınıyorsa

Sorun: Yükleme sırasında dosya bulunamadı veya hash doğrulaması başarısız olabilir.

Çözüm: Dosyanın doğru konumda olduğundan ve hash değerinin doğru olduğundan emin olun. Dosyayı tekrar indirin ve doğrulayın.

2. Sistem Yeniden Başlatma Sonrası Hizmetler Çalışmıyor

Sorun: Yeniden başlatma sonrası Unified CM hizmetleri çalışmıyor olabilir.

Çözüm: Hizmetleri manuel olarak başlatmayı deneyin: 

admin:utils service start Cisco Tomcat
admin:utils service start Cisco CallManager

3. Güvenlik Duvarı Kurallarından Sistem Erişimi Engelleniyor

Sorun: Güvenlik duvarı kurallarından dolayı Unified CM'e erişim sağlanamıyor.

Çözüm: Güvenlik duvarı kurallarını gözden geçirin ve gerekli portların açık olduğundan emin olun. 

admin:utils network access-list list
admin:utils network access-list clear

Sonuç

CVE-2024-20276 olarak tanımlanan Cisco Unified CM güvenlik açığı, kritik seviyede bir tehdit oluşturmaktadır. Bu açıktan faydalanan saldırganlar, sistemde kök ayrıcalıkları elde edebilir ve tam kontrol sağlayabilirler. Bu nedenle, derhal yama uygulaması ve güvenlik önlemlerinin alınması hayati önem taşımaktadır. Bu makalede yer alan adımları takip ederek sisteminizi koruyabilir ve saldırı riskini en aza indirebilirsiniz.

Unutmayın: Siber güvenlik tehditleri sürekli gelişmektedir. Bu nedenle, düzenli olarak sistem güncellemelerini kontrol edin ve güvenlik açıklarını taramayı ihmal etmeyin.

İlgili Makaleler