Περισσότερες από 40.000 συσκευές Cisco που εκτελούν το λειτουργικό σύστημα IOS XE έχουν παραβιαστεί μετά από εκμεταλλεύσεις χάκερ μιας ευπάθειας μέγιστης σοβαρότητας που αποκαλύφθηκε πρόσφατα ως CVE-2023-20198.
Δεν υπάρχει διαθέσιμη
ενημέρωση
κώδικα ή λύση λύσης και η μόνη σύσταση προς τους πελάτες για την ασφάλεια των συσκευών είναι να «απενεργοποιήσουν τη δυνατότητα διακομιστή HTTP σε όλα τα συστήματα που αντιμετωπίζουν το Διαδίκτυο».
Ο εξοπλισμός δικτύωσης που τρέχει το Cisco IOS XE περιλαμβάνει εταιρικούς διακόπτες, βιομηχανικούς δρομολογητές, σημεία πρόσβασης, ασύρματους ελεγκτές, συνάθροιση και δρομολογητές διακλάδωσης.
Εκτέθηκαν δεκάδες χιλιάδες συσκευές Cisco
Οι αρχικές εκτιμήσεις για τις συσκευές Cisco IOS XE που είχαν παραβιαστεί ήταν περίπου 10.000 και ο αριθμός άρχισε να αυξάνεται καθώς οι ερευνητές ασφαλείας σάρωναν το Διαδίκτυο για πιο ακριβή στοιχεία.
Την Τρίτη, η μηχανή LeakIX για την ευρετηρίαση υπηρεσιών και εφαρμογών Ιστού που εκτέθηκαν στον δημόσιο ιστό είπε ότι βρήκαν περίπου 30.000 μολυσμένες συσκευές, χωρίς να υπολογίζονται τα επανεκκινημένα συστήματα.
Η αναζήτηση βασίστηκε στους δείκτες συμβιβασμού (IoC) που παρείχε η Cisco για να προσδιορίσει την επιτυχή εκμετάλλευση του CVE-2023-20198 σε μια εκτεθειμένη
συσκευή
και αποκάλυψε χιλιάδες μολυσμένους κεντρικούς υπολογιστές στις
Ηνωμένες Πολιτείες
, τις Φιλιππίνες και τη Χιλή.
Αποτελέσματα LeakIX για συσκευές Cisco IOS XE που εκτίθενται στο διαδίκτυο
πηγή:
LeakIX
Χρησιμοποιώντας την ίδια μέθοδο επαλήθευσης από τη Cisco, το ιδιωτικό CERT από την Orange ανακοίνωσε την Τετάρτη ότι υπήρχαν
περισσότερες από 34.500 διευθύνσεις IP Cisco IOS XE
με κακόβουλο εμφύτευμα ως αποτέλεσμα της εκμετάλλευσης του CVE-2023-20198.
Το CERT Orange δημοσίευσε επίσης α
Σενάριο Python
για σάρωση για την παρουσία ενός κακόβουλου εμφυτεύματος σε μια συσκευή δικτύου που εκτελεί το Cisco IOS XE.
Σε μια
ενημέρωση στις 18 Οκτωβρίου
η
πλατφόρμα
αναζήτησης Censys για την αξιολόγηση της επιφάνειας επίθεσης για συσκευές συνδεδεμένες στο Διαδίκτυο είπε ότι ο αριθμός των παραβιασμένων συσκευών που εντόπισε αυξήθηκε σε 41.983.
Αποτελέσματα Censys για κεντρικούς υπολογιστές Cisco IOS XE στον δημόσιο ιστό
πηγή: Censys
Ένας ακριβής αριθμός συσκευών Cisco IOS XE που είναι προσβάσιμες μέσω του δημόσιου Διαδικτύου είναι δύσκολο να αποκτηθεί, αλλά ο Shodan εμφανίζει λίγο περισσότερους από 145.000 κεντρικούς υπολογιστές, οι περισσότεροι από αυτούς στις
ΗΠΑ
Ακολουθεί ένα στιγμιότυπο οθόνης με τα αποτελέσματα Shodan για συσκευές Cisco που έχουν πρόσβαση στο Web UI τους μέσω του Διαδικτύου, χρησιμοποιώντας ένα ερώτημα από τον Simo Kohonen, τον Διευθύνοντα Σύμβουλο της εταιρείας κυβερνοασφάλειας Aves Netsec.
Αποτελέσματα Shodan για εκτεθειμένα συστήματα Cisco IOS XE
πηγή: BleepingComputer
,
Ερευνητής ασφάλειας
Yutaka Sejiyama
έψαξε επίσης στο Shodan για συσκευές Cisco IOS XE που ήταν ευάλωτες στο CVE-2023-20198 και βρήκε σχεδόν 90.000 κεντρικούς υπολογιστές εκτεθειμένους στον Ιστό.
Η λίστα του Sejiyama περιλαμβάνει επίσης ιατρικά κέντρα, πανεπιστήμια, γραφεία σερίφη, σχολικές περιοχές, καταστήματα ψιλικών, τράπεζες, νοσοκομεία και κυβερνητικούς φορείς με συσκευές Cisco IOS XE που εκτίθενται στο διαδίκτυο.
«Δεν χρειάζεται να εκτεθεί η οθόνη σύνδεσης του IOS XE στο Διαδίκτυο εξαρχής», είπε ο Sejiyama στο BleepingComputer, επαναλαμβάνοντας τη συμβουλή της Cisco να μην εκτίθεται το περιβάλλον χρήστη και οι υπηρεσίες διαχείρισης ιστού στον δημόσιο ιστό ή σε μη αξιόπιστα δίκτυα.
Ο ερευνητής εξέφρασε ανησυχία για αυτές τις πρακτικές, λέγοντας ότι «οι οργανισμοί που χρησιμοποιούν τον εξοπλισμό με τέτοιο τρόπο είναι πιθανό να αγνοούν αυτήν την ευπάθεια ή την παραβίαση».
Ο κίνδυνος παραμένει μετά την επανεκκίνηση της συσκευής
Η Cisco αποκάλυψε το CVE-2023-20198 τη Δευτέρα, αλλά οι παράγοντες απειλών το είχαν χρησιμοποιήσει πριν από τις 28 Σεπτεμβρίου, όταν ήταν μηδενική ημέρα, για να δημιουργήσουν έναν λογαριασμό υψηλού προνομίου στους επηρεαζόμενους κεντρικούς υπολογιστές και να πάρουν τον πλήρη έλεγχο της συσκευής.
Η Cisco ενημέρωσε τη συμβουλευτική της
σήμερα με νέες διευθύνσεις IP εισβολέων και ονόματα χρήστη, καθώς και νέους κανόνες για το σύστημα ανίχνευσης εισβολών δικτύου ανοιχτού κώδικα Snort και το σύστημα πρόληψης εισβολών.
Οι ερευνητές σημειώνουν ότι οι παράγοντες απειλών πίσω από αυτές τις επιθέσεις χρησιμοποιούν ένα κακόβουλο εμφύτευμα, το οποίο δεν έχει ανθεκτικότητα και αφαιρείται μετά την επανεκκίνηση της συσκευής.
Ωστόσο, οι νέοι λογαριασμοί που βοήθησε στη δημιουργία συνεχίζουν να είναι ενεργοί και «έχουν προνόμια επιπέδου 15, που σημαίνει ότι έχουν πλήρη πρόσβαση διαχειριστή στη συσκευή».
Με βάση την ανάλυση της Cisco, ο παράγοντας απειλών συλλέγει λεπτομέρειες σχετικά με τη συσκευή και πραγματοποιεί προκαταρκτική δραστηριότητα αναγνώρισης. Ο εισβολέας εκκαθαρίζει επίσης αρχεία καταγραφής και αφαιρεί χρήστες, πιθανώς για να κρύψει τη δραστηριότητά τους.
Οι ερευνητές πιστεύουν ότι πίσω από αυτές τις επιθέσεις κρύβεται μόνο ένας παράγοντας απειλής, αλλά δεν μπόρεσαν να καθορίσουν τον αρχικό μηχανισμό παράδοσης.
Η Cisco δεν έχει αποκαλύψει πρόσθετες λεπτομέρειες σχετικά με τις επιθέσεις, αλλά υποσχέθηκε να προσφέρει περισσότερες πληροφορίες όταν ολοκληρώσει την έρευνα και όταν είναι διαθέσιμη μια λύση.
VIA:
bleepingcomputer.com
