Η Cisco προειδοποίησε σήμερα τους διαχειριστές για μια νέα ευπάθεια μηδενικής ημέρας μέγιστης σοβαρότητας στο Λογισμικό IOS XE που μπορεί να επιτρέψει στους εισβολείς να αποκτήσουν πλήρη δικαιώματα διαχειριστή και να πάρουν τον πλήρη έλεγχο των επηρεαζόμενων δρομολογητών.
Η εταιρεία λέει ότι η κρίσιμη ευπάθεια (παρακολουθείται ως
CVE-2023-20198
και εξακολουθεί να περιμένει μια ενημερωμένη έκδοση κώδικα) επηρεάζει μόνο τις φυσικές και εικονικές συσκευές που εκτελούνται με ενεργοποιημένη τη δυνατότητα διεπαφής χρήστη Web (Web UI), οι οποίες έχουν επίσης ενεργοποιημένη τη δυνατότητα διακομιστή HTTP ή HTTPS.
“Η Cisco εντόπισε ενεργή εκμετάλλευση μιας προηγουμένως άγνωστης ευπάθειας στη δυνατότητα Web User Interface (Web UI) του λογισμικού Cisco IOS XE (CVE-2023-20198) όταν εκτίθεται στο διαδίκτυο ή σε μη αξιόπιστα δίκτυα”, η εταιρεία
αποκάλυψε
σήμερα.
“Η επιτυχής εκμετάλλευση αυτής της ευπάθειας επιτρέπει σε έναν εισβολέα να δημιουργήσει έναν λογαριασμό στη επηρεαζόμενη συσκευή με πρόσβαση επιπέδου προνομίων 15, παρέχοντάς του ουσιαστικά πλήρη έλεγχο της παραβιασμένης συσκευής και επιτρέποντας πιθανή επακόλουθη μη εξουσιοδοτημένη δραστηριότητα.”
Οι επιθέσεις ανακαλύφθηκαν στις 28 Σεπτεμβρίου από το Κέντρο Τεχνικής Βοήθειας της Cisco (TAC) μετά από αναφορές για ασυνήθιστη συμπεριφορά σε συσκευή πελάτη.
Η Cisco εντόπισε σχετική δραστηριότητα που χρονολογείται από τις 18 Σεπτεμβρίου μετά από περαιτέρω έρευνα για τις επιθέσεις. Η κακόβουλη δραστηριότητα περιλάμβανε έναν εξουσιοδοτημένο χρήστη που δημιούργησε έναν τοπικό λογαριασμό χρήστη με το όνομα χρήστη “cisco_tac_admin” από μια ύποπτη διεύθυνση IP (5.149.249[.]74).
Η εταιρεία ανακάλυψε πρόσθετη σχετική δραστηριότητα στις 12 Οκτωβρίου, όταν δημιουργήθηκε ένας τοπικός λογαριασμός χρήστη “cisco_support” από μια δεύτερη ύποπτη διεύθυνση IP (154.53.56[.]231). Επίσης ανέπτυξαν ένα κακόβουλο εμφύτευμα για την εκτέλεση αυθαίρετων εντολών σε επίπεδο συστήματος ή IOS.
“Εκτιμούμε ότι αυτές οι ομάδες δραστηριότητας πιθανότατα πραγματοποιήθηκαν από τον ίδιο παράγοντα. Και οι δύο ομάδες εμφανίστηκαν κοντά μεταξύ τους, με τη δραστηριότητα του Οκτωβρίου να φαίνεται να βασίζεται στη δραστηριότητα του Σεπτεμβρίου”, δήλωσε η Cisco.
“Το πρώτο σύμπλεγμα ήταν πιθανώς η αρχική απόπειρα του ηθοποιού και η δοκιμή του κώδικά του, ενώ η δραστηριότητα του Οκτωβρίου φαίνεται να δείχνει ότι ο ηθοποιός επεκτείνει τη λειτουργία του για να συμπεριλάβει τη δημιουργία μόνιμης πρόσβασης μέσω της ανάπτυξης του εμφυτεύματος.”
Μέτρα μετριασμού
Η εταιρεία συμβούλεψε τους διαχειριστές να απενεργοποιήσουν τη δυνατότητα διακομιστή HTTP σε συστήματα που αντιμετωπίζουν το Διαδίκτυο, κάτι που θα αφαιρούσε το διάνυσμα της επίθεσης και θα μπλοκάρει τις εισερχόμενες επιθέσεις.
“Η Cisco συνιστά ανεπιφύλακτα στους πελάτες να απενεργοποιούν τη δυνατότητα διακομιστή HTTP σε όλα τα συστήματα που έχουν πρόσβαση στο Διαδίκτυο. Για να απενεργοποιήσετε τη δυνατότητα διακομιστή HTTP, χρησιμοποιήστε την εντολή no ip http server ή no ip http safe-server σε λειτουργία καθολικής διαμόρφωσης”, η εταιρεία
είπε
.
“Μετά την απενεργοποίηση της δυνατότητας διακομιστή HTTP, χρησιμοποιήστε το
αντιγραφή εκτέλεση-διαμόρφωση εκκίνηση-διαμόρφωση
εντολή για αποθήκευση του
λειτουργία-διαμόρφωση
. Αυτό θα διασφαλίσει ότι η δυνατότητα του διακομιστή HTTP δεν θα ενεργοποιηθεί απροσδόκητα σε περίπτωση επαναφόρτωσης του συστήματος.”
Εάν χρησιμοποιούνται και οι δύο διακομιστές HTTP και HTTPS, απαιτούνται και οι δύο εντολές για την απενεργοποίηση της δυνατότητας διακομιστή HTTP.
Συνιστάται επίσης στους οργανισμούς να αναζητούν ανεξήγητους ή πρόσφατα δημιουργημένους λογαριασμούς χρηστών ως πιθανούς δείκτες κακόβουλης δραστηριότητας που σχετίζεται με αυτήν την απειλή.
Μια προσέγγιση για τον εντοπισμό της παρουσίας του κακόβουλου εμφυτεύματος σε παραβιασμένες συσκευές Cisco IOS XE περιλαμβάνει την εκτέλεση της ακόλουθης εντολής στη συσκευή, όπου το σύμβολο κράτησης θέσης “DEVICEIP” αντιπροσωπεύει τη διεύθυνση IP που εξετάζεται:
curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"
“Εργαζόμαστε ασταμάτητα για να παρέχουμε μια επιδιόρθωση λογισμικού και προτρέπουμε σθεναρά τους πελάτες να λάβουν άμεσα μέτρα όπως περιγράφεται στην συμβουλή ασφαλείας. Η Cisco θα παράσχει μια ενημέρωση σχετικά με την κατάσταση της έρευνάς μας μέσω της συμβουλής ασφαλείας”, ο Διευθυντής Επικοινωνιών Ασφαλείας της Cisco Η Meredith Corley είπε στο BleepingComputer σε μια δήλωση ηλεκτρονικού ταχυδρομείου.
Τον περασμένο μήνα, η Cisco προειδοποίησε τους πελάτες να επιδιορθώσουν μια άλλη ευπάθεια zero-day (CVE-2023-20109) στο λογισμικό IOS και IOS XE που στοχεύει επιτιθέμενους στην άγρια φύση.
Ενημέρωση: Προστέθηκε δήλωση από τη Cisco.
VIA:
bleepingcomputer.com
