Neredeyse her gün güvenlik açıkları hakkında yeni haberler duyuyoruz. İnsanlar bunları internette tartışıyor, geliştiriciler düzeltme eki yayınlıyorlar. Sonrasında da herkes sakinleşiyor. Böylece her şey yolundaymış ve sorun çözülmüş gibi görünüyor olabilir. Fakat durum böyle değil. Özellikle güncellemeleri çok çaba gerektiren ağ ekipmanlarının yazılımları söz konusu olduğunda, yöneticilerin bir kısmı bu güncellemeleri kurmuyorlar.
Bazı sistem yöneticileri, işletmelerinin kötü niyetli kişilerin hedefinde olacağını düşünmüyor. Bazıları resmi güvenlik raporlarında “açıktan yararlanma işareti yok” gibi sihirli cümleler arıyor, bu güvenlik açığının sadece teoride var olduğunu düşünerek rahatlıyorlar.
Geçen sene Cisco ekipmanlarında birkaç tane ciddi güvenlik açığı bildirilmişti. Raporlardan biri olan “Cisco IOS ve IOS XE işletim sistemlerindeki SNMP Uzaktan Kod Çalıştırma Güvenlik Açıkları” (rapor kodu: cisco-sa-20170629-snmp), bir yabancının gelip bütün sistemi nasıl ele geçirebileceğini açıklamıştı. Bunun için gereken tek şey, ilgili sistem için kullanılan ve bir çeşit kullanıcı adı ve parola olan bir SNMP salt okunur topluluk dizesiydi. Bu sorun Temmuz 2017’den beri bilinmekte. Güvenlik açıklarını ciddiye alan Cisco, bir düzeltme eki uyguladı. Böylece herhangi bir açıktan yararlanma denemesi tespit edilmedi.
Sızma testi uzmanı olan meslektaşımız Artem Kondratenko, bir dışarıdan sızma testi gerçekleştirerek varsayılan SNMP topluluk dizesiyle bir Cisco yönlendiricisi ortaya çıkardı. Bu güvenlik açığının ne kadar tehlikeli olabileceğini araştırmaya karar verdi. Kendine bir hedef belirledi: Bu yönlendiriciyi kullanarak iç ağa erişim sağlayacaktı. Bu arada, Kondratenko’nun keşfi eşsiz bir durum değildi. Shodan aynı modele ait, varsayılan topluluk dizesini kullanan 3.313 aygıt sıralıyor.
Teknik detayları şimdilik bir kenara bırakalım. Araştırmasını daha yakından incelemek istiyorsanız, Kondratenko’nun Kaos İletişim Kongresi‘ndekikonuşmasına göz atabilirsiniz. Burada esas önemli olan, sonuç. Bu güvenlik açığının, 15. seviye bir ayrıcalıkla sisteme erişim sağlamak için kullanılabileceğini gösterdi. 15. seviye bir ayrıcalık, Cisco’nun IOS kabuğu için mümkün olan en yüksek seviye. Özetle, herhangi bir açıktan yararlanma vakası olmamasına rağmen güvenlik açıklarını görmezden gelmek çok akıllıca değil. Saldırıya açık bir aygıt bulması ve daha sonra cisco-sa-20170629-snmp’nin açıklarından nasıl yararlanılabileceğine dair bir tasarı kanıtı yaratması, Kondratenko’nun sadece dört haftasını aldı.
Yönlendiricinizin bu güvenlik açığının ilk kurbanı olmasını engellemek için şunları yapabilirsiniz:
- Ağ ekipman yazılımınızın güncel olduğundan emin olun;
- Dışarıdaki bir ağa bağlı olan yönlendiricilerde varsayılan bir topluluk dizesi kullanmayın (hatta varsayılan topluluk dizelerini hiçbir yerde kullanmayın);
- Ağ aygıtlarınızın yazılım desteklerinin sonlandığına dair açıklamaları kaçırmayın, bu noktadan sonra aygıtınız üreticiler tarafından desteklenmez ve hiçbir güncellemeyi almaz.