যদি শোষিত হয়, এই ত্রুটিগুলি আক্রমণকারীদের সংবেদনশীল তথ্যে অননুমোদিত অ্যাক্সেস পেতে বা সাধারণত সমস্যা সৃষ্টি করতে পারে
গত সপ্তাহে সিসকো একটি গুরুতর নিরাপত্তা সমস্যা জড়িত হয়েছে সজ্জিত শারীরিক এবং ভার্চুয়াল সিসকো ডিভাইসে ব্যবহৃত ওয়েব ইন্টারফেস বাস্তবায়নে Cisco IOS XE অপারেটিং সিস্টেমের সাথে।
এবং অক্টোবর মাসের মাঝামাঝি থেকে, একটি সমালোচনামূলক দুর্বলতা চিহ্নিত করা হয়েছে যে খবর প্রকাশিত হয় (ইতিমধ্যেই (CVE-2023-20198) এর অধীনে তালিকাভুক্ত করা হয়েছে, যা অনুমোদন ব্যতীত, সর্বোচ্চ স্তরের বিশেষাধিকার সহ সিস্টেমে সম্পূর্ণ অ্যাক্সেসের অনুমতি দেয়, যদি আপনার নেটওয়ার্ক পোর্টে অ্যাক্সেস থাকে যার মাধ্যমে ওয়েব ইন্টারফেস কাজ করে।
এটি উল্লেখ করা হয় সমস্যার বিপদ আরও বেড়ে যায় যে কারণে আক্রমণকারীরা এক মাসেরও বেশি সময় ধরে অপরিবর্তিত দুর্বলতা ব্যবহার করছে অ্যাডমিনিস্ট্রেটরের অধিকার সহ অতিরিক্ত "cisco_tac_admin" এবং "cisco_support" অ্যাকাউন্ট তৈরি করতে এবং ডিভাইসে কমান্ড চালানোর জন্য দূরবর্তী অ্যাক্সেস প্রদান করে এমন ডিভাইসগুলিতে স্বয়ংক্রিয়ভাবে একটি ইমপ্লান্ট স্থাপন করতে।
দুর্বলতার সাথে সমস্যা হল যে এটি একটি দ্বিতীয় দুর্বলতা তৈরি করে (CVE-2023-20273) যা Cisco IOS XE চালিত ডিভাইসগুলিতে একটি ইমপ্লান্ট ইনস্টল করার জন্য আক্রমণে ব্যবহৃত হয়েছিল। এবং যা Cisco রিপোর্ট করেছে যে আক্রমণকারীরা প্রথম দুর্বলতা CVE-2023-20198 শোষণ করার পরে সুবিধা নিয়েছিল এবং ডিভাইসে স্বেচ্ছাচারী আদেশগুলি চালানোর জন্য এটির শোষণের সময় তৈরি রুট অধিকার সহ একটি নতুন অ্যাকাউন্ট ব্যবহার করার অনুমতি দিয়েছে।
এতে দুর্বলতার শোষণের কথা উল্লেখ করা হয়েছে CVE-2023-20198 একজন আক্রমণকারীকে ডিভাইসে বিশেষাধিকার স্তর 15 অ্যাক্সেস পেতে দেয়, যা আপনি একটি স্থানীয় ব্যবহারকারী তৈরি করতে এবং সাধারণ ব্যবহারকারী অ্যাক্সেসের সাথে লগ ইন করতে ব্যবহার করতে পারেন। অতিরিক্তভাবে, এটি "%xx" উপস্থাপনার সাথে অনুরোধে অক্ষর প্রতিস্থাপন করে যাচাইকরণকে বাইপাস করা সম্ভব করেছে। উদাহরণস্বরূপ, WMSA (ওয়েব সার্ভিস ম্যানেজমেন্ট এজেন্ট) পরিষেবা অ্যাক্সেস করতে, আপনি একটি "POST /%2577ebui_wsma_HTTP" অনুরোধ পাঠাতে পারেন, যা অ্যাক্সেস যাচাই না করেই "webui_wsma_http" হ্যান্ডলারকে কল করে৷
সেপ্টেম্বরের ঘটনা থেকে ভিন্ন, অক্টোবরের এই ক্রিয়াকলাপে পরবর্তীকালে বেশ কিছু ক্রিয়াকলাপ অন্তর্ভুক্ত ছিল, যার মধ্যে একটি ইমপ্লান্ট স্থাপন করা যা আমরা বলি "BadCandy" যা একটি কনফিগারেশন ফাইল ("cisco_service.conf") নিয়ে গঠিত। কনফিগারেশন ফাইলটি ইমপ্লান্টের সাথে ইন্টারঅ্যাক্ট করতে ব্যবহৃত নতুন ওয়েব সার্ভার এন্ডপয়েন্ট (URI পাথ) সংজ্ঞায়িত করে। এই এন্ডপয়েন্টটি কিছু নির্দিষ্ট প্যারামিটার গ্রহণ করে, যা নীচে আরও বিশদে বর্ণনা করা হয়েছে, যা অভিনেতাকে সিস্টেম স্তরে বা IOS স্তরে নির্বিচারে আদেশগুলি চালানোর অনুমতি দেয়। ইমপ্লান্ট সক্রিয় করার জন্য, ওয়েব সার্ভার পুনরায় চালু করতে হবে; অন্তত একটি পর্যবেক্ষণের ক্ষেত্রে, সার্ভারটি পুনরায় চালু করা হয়নি, তাই ইমপ্লান্টটি ইনস্টল থাকা সত্ত্বেও সক্রিয় করা হয়নি।
ব্যাডক্যান্ডি ইমপ্লান্টটি ফাইল পাথ “/usr/binos/conf/nginx-conf/cisco_service.conf”-এ সংরক্ষিত হয়েছে যেটিতে হেক্সাডেসিমেল অক্ষর দ্বারা গঠিত দুটি পরিবর্তনশীল স্ট্রিং রয়েছে। ইমপ্লান্টটি অ-স্থির, যার অর্থ একটি ডিভাইস রিবুট এটিকে সরিয়ে দেবে, কিন্তু নতুন তৈরি স্থানীয় ব্যবহারকারী অ্যাকাউন্টগুলি সিস্টেম রিবুট করার পরেও সক্রিয় থাকে। নতুন ব্যবহারকারীর অ্যাকাউন্টগুলির স্তর 15 বিশেষাধিকার রয়েছে, যার অর্থ তাদের ডিভাইসে সম্পূর্ণ প্রশাসকের অ্যাক্সেস রয়েছে৷ ডিভাইসগুলিতে এই বিশেষ সুবিধাপ্রাপ্ত অ্যাক্সেস এবং পরবর্তীতে নতুন ব্যবহারকারী তৈরি করা CVE-2023-20198 হিসাবে নিবন্ধিত।
মামলা সম্পর্কে Cisco আপডেট তথ্য প্রকাশ করা হয়েছে উভয় গবেষণায় এটি করা হয়েছে পাশাপাশি উপস্থাপিত দুর্বলতার প্রযুক্তিগত বিশ্লেষণ এবং একটি এক্সপ্লয়েট প্রোটোটাইপের উপর, যা আক্রমণকারী ট্র্যাফিকের বিশ্লেষণের উপর ভিত্তি করে একজন স্বাধীন গবেষক দ্বারা প্রস্তুত করা হয়েছিল।
যদিও, যথাযথ স্তরের নিরাপত্তা নিশ্চিত করার জন্য, শুধুমাত্র নির্বাচিত হোস্ট বা স্থানীয় নেটওয়ার্কগুলিতে ওয়েব ইন্টারফেসে অ্যাক্সেস খোলার সুপারিশ করা হয়, অনেক প্রশাসক বিশ্বব্যাপী নেটওয়ার্ক থেকে সংযোগ করার বিকল্পটি ছেড়ে দেন। বিশেষত, শোদান পরিষেবা অনুসারে, বর্তমানে বিশ্বব্যাপী নেটওয়ার্কে 140 হাজারেরও বেশি সম্ভাব্য দুর্বল ডিভাইস নিবন্ধিত রয়েছে। সিইআরটি সংস্থা ইতিমধ্যে প্রায় ৩৫ হাজার সিসকো ডিভাইস সফলভাবে আক্রমণের নিবন্ধন করেছে।
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন নোট সম্পর্কে, আপনি মূল প্রকাশনার সাথে পরামর্শ করতে পারেন নিম্নলিখিত লিঙ্ক.