Ο αριθμός των συσκευών Cisco IOS XE που παραβιάστηκαν με ένα κακόβουλο εμφύτευμα κερκόπορτας μειώθηκε μυστηριωδώς από περισσότερες από 50.000 επηρεασμένες
συσκευές
σε μερικές μόνο εκατοντάδες, με τους ερευνητές να μην είναι σίγουροι
τι
προκαλεί την απότομη πτώση.
Αυτή την εβδομάδα, η Cisco προειδοποίησε ότι οι χάκερ εκμεταλλεύτηκαν δύο τρωτά σημεία zero-day,
CVE-2023-20198
και CVE-2023-20273, για να χακάρουν πάνω από 50.000 συσκευές Cisco IOS XE για να δημιουργήσουν προνομιούχους λογαριασμούς χρηστών και να εγκαταστήσουν ένα κακόβουλο εμφύτευμα κερκόπορτας LUA.
Αυτό το εμφύτευμα LUA επιτρέπει στους παράγοντες απειλής
για την εξ αποστάσεως εκτέλεση εντολών στο επίπεδο προνομίων 15
το υψηλότερο επίπεδο προνομίων στη συσκευή.
Ωστόσο, αυτό το εμφύτευμα δεν περιλαμβάνει ανθεκτικότητα, που σημαίνει ότι μια
επα
νεκκίνηση θα αφαιρέσει την πίσω πόρτα. Ωστόσο, τυχόν τοπικοί χρήστες που δημιουργήθηκαν κατά τη διάρκεια της επίθεσης θα παραμείνουν.
Από την δημοσίευση αυτής της είδησης, εταιρείες κυβερνοασφάλειας και ερευνητές βρήκαν ότι περίπου 60.000 από τις 80.000 εκτεθειμένες στο κοινό συσκευές Cisco ISO XE έχουν παραβιαστεί με αυτό το εμφύτευμα.
Μυστηριώδης πτώση στα ανιχνευμένα εμφυτεύματα Cisco
Το Σάββατο, πολλοί οργανισμοί κυβερνοασφάλειας ανέφεραν ότι ο αριθμός των συσκευών Cisco IOS XE με κακόβουλο εμφύτευμα έχει μειωθεί μυστηριωδώς από περίπου 60.000 συσκευές σε μόνο 100-1.200, ανάλογα με τις διαφορετικές σαρώσεις.
Ο ιδρυτής και CTO της Onyphe, Patrice Auffret, είπε στο BleepingComputer ότι πιστεύει ότι οι παράγοντες απειλών πίσω από τις επιθέσεις αναπτύσσουν μια
ενημέρωση
για να κρύψουν την παρουσία τους, με αποτέλεσμα να μην φαίνονται πλέον τα εμφυτεύματα στις σαρώσεις.
“Για δεύτερη συνεχόμενη ημέρα, βλέπουμε ότι ο αριθμός των εμφυτευμάτων έχει μειωθεί δραστικά σε σύντομο χρονικό διάστημα (δείτε τα στιγμιότυπα οθόνης). Βασικά, φαίνεται ότι έχουν σχεδόν όλα επανεκκινηθεί (καθώς το γνωστό εμφύτευμα δεν επιβιώνει μετά από επανεκκίνηση) ή έχουν ενημερωθεί.”
“Πιστεύουμε ότι είναι η ενέργεια από τον αρχικό παράγοντα απειλής που προσπαθεί να διορθώσει ένα πρόβλημα που δεν θα έπρεπε να υπάρχει από την αρχή. Το γεγονός ότι το εμφύτευμα ήταν τόσο εύκολο να εντοπιστεί από απόσταση ήταν ένα λάθος από την πλευρά τους.
“Πιθανότατα αναπτύσσουν μια ενημέρωση για να κρύψουν την παρουσία τους.”
Ο Piotr Kijewski, Διευθύνων Σύμβουλος του The Shadowserver Foundation, είπε επίσης στο BleepingComputer ότι έχουν δει απότομη πτώση στα εμφυτεύματα από τις 21/10, με τις σαρώσεις τους να βλέπουν μόνο 107 συσκευές με το κακόβουλο εμφύτευμα.
«Το εμφύτευμα φαίνεται να έχει αφαιρεθεί ή ενημερωθεί με κάποιο τρόπο», είπε ο Kijewski στο BleepingComputer μέσω email.
Αριθμός συσκευών Cisco IOS XE με κακόβουλο εμφύτευμα
Πηγή:
ShadowServer
Μια άλλη θεωρία είναι ότι ένας χάκερ με γκρι καπέλο αυτοματοποιεί την επανεκκίνηση των επηρεαζόμενων συσκευών Cisco IOS XE για να καθαρίσει το εμφύτευμα. ΕΝΑ
παρόμοια εκστρατεία παρατηρήθηκε το 2018
όταν ένας χάκερ ισχυρίστηκε ότι είχε επιδιορθώσει 100.000 δρομολογητές MikroTik, ώστε να μην γίνεται κατάχρηση για εκστρατείες
κρυπτο
γράφησης και DDoS.
Ωστόσο, η Orange Cyberdefense CERT για τον Όμιλο Orange είπε στο BleepingComputer ότι δεν πιστεύουν ότι ένας χάκερ με γκρίζο καπέλο βρίσκεται πίσω από τη μείωση των εμφυτευμάτων, αλλά μάλλον ότι αυτό θα μπορούσε να είναι μια νέα φάση εκμετάλλευσης.
“Λάβετε υπόψη ότι ένα πιθανό βήμα καθαρισμού ιχνών βρίσκεται σε εξέλιξη για την απόκρυψη του εμφυτεύματος (μετά την εκμετάλλευση του #CVE-2023-20198)”
έγραψε στο Twitter το Orange Cyberdefense CERT
.
“Ακόμη και αν έχετε απενεργοποιήσει το WebUI σας, σας συνιστούμε να πραγματοποιήσετε έρευνα για να βεβαιωθείτε ότι δεν έχουν προστεθεί κακόβουλοι χρήστες και ότι δεν έχει τροποποιηθεί η διαμόρφωσή του.”
Μια άλλη δυνατότητα που μοιράζεται
ερευνητής ασφαλείας Daniel Card
είναι ότι οι πολλές συσκευές που παραβιάστηκαν με εμφυτεύματα ήταν απλώς ένα δόλωμα για να κρύψουν τους πραγματικούς στόχους στις επιθέσεις.
Δυστυχώς, το μόνο που έχουμε είναι θεωρίες αυτή τη στιγμή. Έως ότου η Cisco ή άλλοι ερευνητές μπορέσουν να εξετάσουν μια συσκευή Cisco IOS XE που είχε παραβιαστεί στο παρελθόν για να δουν εάν απλώς έγινε επανεκκίνηση ή αν έγιναν νέες αλλαγές, δεν υπάρχει τρόπος να γνωρίζουμε τι συνέβη.
Η BleepingComputer επικοινώνησε με τη Cisco με ερωτήσεις σχετικά με την πτώση των εμφυτευμάτων, αλλά δεν έχει λάβει απάντηση αυτή τη στιγμή.
VIA:
bleepingcomputer.com