Η Cisco αποκάλυψε σήμερα ένα νέο υψηλής σοβαρότητας zero-day (CVE-2023-20273), το οποίο αξιοποιήθηκε ενεργά για την ανάπτυξη κακόβουλων εμφυτευμάτων σε συσκευές IOS XE που έχουν παραβιαστεί χρησιμοποιώντας το
CVE-2023-20198
zero-day που αποκαλύφθηκε νωρίτερα αυτή την εβδομάδα.
Η εταιρεία είπε ότι βρήκε μια επιδιόρθωση και για τα δύο τρωτά σημεία και εκτιμά ότι θα κυκλοφορήσει στους πελάτες μέσω του Κέντρου Λήψης Λογισμικού της Cisco το Σαββατοκύριακο, από τις 22 Οκτωβρίου.
“Οι διορθώσεις τόσο για το CVE-2023-20198 όσο και για το CVE-2023-20273 εκτιμάται ότι θα είναι διαθέσιμες στις 22 Οκτωβρίου. Το CVE-2021-1435 που αναφέρθηκε προηγουμένως δεν αξιολογείται πλέον ότι σχετίζεται με αυτήν τη δραστηριότητα,” Cisco
είπε
σήμερα.
Τη Δευτέρα, η Cisco αποκάλυψε ότι οι εισβολείς που δεν έχουν πιστοποιηθεί εκμεταλλεύονται την παράκαμψη ελέγχου ταυτότητας CVE-2023-20198 zero-day τουλάχιστον από τις 18 Σεπτεμβρίου για να παραβιάσουν συσκευές IOS XE και να δημιουργήσουν “cisco_tac_admin” και “cisco_support”.
Όπως αποκαλύφθηκε σήμερα, η κλιμάκωση του προνομίου CVE-2023-20273 μηδενική ημέρα είναι τότε
χρησιμοποιείται για να αποκτήσει πρόσβαση root
και να αναλάβει τον πλήρη έλεγχο των συσκευών Cisco IOS XE για να αναπτύξει κακόβουλα εμφυτεύματα που τους επιτρέπουν να εκτελούν αυθαίρετες εντολές στο σύστημα.
Πάνω από 40.000 συσκευές Cisco που εκτελούν το ευάλωτο λογισμικό IOS XE έχουν ήδη παραβιαστεί από χάκερ χρησιμοποιώντας τις δύο ακόμη μη επιδιορθωμένες zero-days, σύμφωνα με τις εκτιμήσεις των Censys και LeakIX. Δύο ημέρες νωρίτερα, οι εκτιμήσεις του VulnCheck κυμαίνονταν περίπου 10.000 την Τρίτη, ενώ το Orange Cyberdefense CERT δήλωσε μια μέρα αργότερα ότι βρήκε κακόβουλα εμφυτεύματα
σε 34.500 συσκευές IOS XE
.
Οι συσκευές δικτύωσης που εκτελούν Cisco IOS XE περιλαμβάνουν εταιρικούς διακόπτες, σημεία πρόσβασης, ασύρματους ελεγκτές, καθώς και βιομηχανικούς δρομολογητές, δρομολογητές συγκέντρωσης και διακλάδωσης.
Αν και είναι δύσκολο να βρείτε τον ακριβή αριθμό των συσκευών Cisco IOS XE που εκτίθενται στο Διαδίκτυο, α
Αναζήτηση Shodan
επί του παρόντος δείχνει ότι περισσότερα από 146.000 ευάλωτα συστήματα είναι εκτεθειμένα σε επιθέσεις.
Χάρτης Shodan των συστημάτων Cisco IOS XE που εκτίθενται σε επιθέσεις (BleepingComputer)
Η Cisco έχει προειδοποιήσει τους διαχειριστές ότι, παρόλο που οι ενημερώσεις ασφαλείας δεν είναι διαθέσιμες, μπορούν να αποκλείσουν τις εισερχόμενες επιθέσεις απενεργοποιώντας τη δυνατότητα ευάλωτου διακομιστή HTTP σε όλα τα συστήματα που αντιμετωπίζουν το Διαδίκτυο.
“Συνιστούμε ανεπιφύλακτα σε οργανισμούς που ενδέχεται να επηρεαστούν από αυτή τη δραστηριότητα να εφαρμόσουν αμέσως τις οδηγίες που περιγράφονται στην Ομάδα Αντιμετώπισης Συμβάντων
Ασφάλεια
ς Προϊόντων (PSIRT) της Cisco.
συμβουλευτικός
», είπε η εταιρεία.
Συνιστάται επίσης στους διαχειριστές να αναζητούν ύποπτους ή πρόσφατα δημιουργημένους λογαριασμούς χρηστών ως πιθανούς δείκτες κακόβουλης δραστηριότητας που σχετίζεται με αυτές τις συνεχιζόμενες επιθέσεις.
Ένας τρόπος για τον εντοπισμό του κακόβουλου εμφυτεύματος σε παραβιασμένες συσκευές Cisco IOS XE απαιτεί την εκτέλεση της ακόλουθης εντολής στη συσκευή, όπου το σύμβολο κράτησης θέσης “DEVICEIP” αντιπροσωπεύει τη διεύθυνση IP που εξετάζεται:
curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"
Τον περασμένο μήνα, η Cisco προειδοποίησε τους πελάτες να επιδιορθώσουν ένα άλλο σφάλμα zero-day (CVE-2023-20109) στο λογισμικό IOS και IOS XE, το οποίο επίσης στοχεύει επιτιθέμενους στην άγρια φύση
VIA:
bleepingcomputer.com