Cisco'nun Tümleşik İletişim Yöneticisi'nde Cisco tarafından bu ayın başlarında yamalanan bir güvenlik açığı, saldırganların dosya yüklemesine ve ayrıcalıklarını root'a yükseltmesine olanak tanıyor. O zamandan beri bir güncelleme mevcut. Artık BT araştırmacıları güvenlik açığına yönelik saldırıları gözlemlediler.
Duyurudan sonra devamını okuyun
DefusedCyber analistleri X üzerinde geçen hafta sonu CVE-2026-20230 güvenlik açığının kötüye kullanıldığını gözlemlediklerini yazıyor. Bu, saldırganların korumalı dahili ağlara erişmesine olanak tanıyan sunucu tarafı istek sahteciliğidir (SSRF). Cisco'nun duyurusuna göre, bazı HTTP istekleri düzgün bir şekilde kontrol edilmiyor, bu da kimliği doğrulanmamış ağ saldırganlarının işletim sistemine yazma erişimi bile kazanabileceği ve dolayısıyla kök ayrıcalıkları kazanabileceği anlamına geliyor (CVE-2026-20230, CVSS) 8.6risk”yüksek“). Ancak CVSS değerlendirmesinin aksine Cisco, riski “eleştirmen“derecelendirilmiş – açıkçası haklı.
DefusedCyber, daha önceki suistimallerin bilinmediğini ve CISA'nın bu güvenlik açığını henüz “Bilinen İstismara Uğrayan Güvenlik Açıkları” kataloğunda listelemediğini yazıyor. Siber araştırmacılar başlangıçta, Kavram Kanıtı istismarıyla saldırıların başlatıldığı tek bir kaynak IP belirlediler. PoC, “file://” URL'lerini kullanarak sisteme kötü amaçlı kod yazmaya çalıştı. Çarşamba günü DefusedCyber, LinkedIn'i takip etti ve Tor ağından, savunmasız cihazlara web kabukları dağıtan otomatik taramalar yapıldığını bildirdi.
Saldırılar sunucu hizmetlerini yükler
Gözlemlenen saldırı zincirleri, kötü amaçlı Apache Axis hizmetlerini dağıtmak için WebDialer'daki SSRF'yi kötüye kullanıyor. Daha sonra bu hizmetleri, ikinci adımda bir komut yürütme kabuğunu “/platform-services/axis2-web/” yoluna sabitleyen bir JSP yazıcı dosyası oluşturmak için kullanırlar.
Cisco, güvenlik notunda şirketin yayınlanan kavram kanıtlama istismar kodundan haberdar olduğunu yazıyor. Ancak şu anda gözlemlenen istismara ilişkin herhangi bir güncelleme bulunmuyor. Diğer güvenlik raporlarına göre, güncellemenin yayımlanmasından sonraki gün tam işlevsel yararlanma kodları dolaşıma giriyor. Bu nedenle BT yöneticileri, henüz yapmamışlarsa güncellemeyi hızla uygulamalıdır. Ne yazık ki şu anda başarılı saldırılara dair hiçbir belirti yok (Uzlaşma Göstergeleri, IOC).
(Bilmiyorum)

Bir yanıt yazın