Η Cisco διορθώνει το IOS XE zero-days που χρησιμοποιείται για να χακάρει περισσότερες από 50.000 συσκευές

By

Marizas Dimitris

On

Οκτ 23, 2023

Λεζάντα

Η

Cisco

έχει αντιμετωπίσει τα δύο τρωτά σημεία (CVE-2023-20198 και CVE-2023-20273) που εκμεταλλεύτηκαν οι χάκερ για να παραβιάσουν δεκάδες χιλιάδες συσκευές IOS XE την περασμένη εβδομάδα.

Η κυκλοφορία του ελεύθερου λογισμικού έρχεται αφότου ένας παράγοντας απειλών αξιοποίησε τα ζητήματα ασφαλείας ως μηδενικές ημέρες για να συμβιβαστεί και να πάρει τον πλήρη έλεγχο περισσότερων από 50.000 κεντρικών υπολογιστών Cisco IOS XE.

Κρίσιμες και μέτριας σοβαρότητας ελαττώματα

Σε μια ενημέρωση της αρχικής συμβουλευτικής, η Cisco λέει ότι η πρώτη έκδοση σταθερού λογισμικού είναι διαθέσιμη από την εταιρεία

Κέντρο λήψης λογισμικού

.

Προς το παρόν, η πρώτη σταθερή διαθέσιμη έκδοση είναι η 17.9.4a, με ενημερώσεις που θα κυκλοφορήσουν σε μια ακόμη άγνωστη ημερομηνία.

Train έκδοσης λογισμικού Cisco IOS XE	Πρώτη Σταθερή Έκδοση	Διαθέσιμος
17.9	17.9.4α	Ναί
17.6	17.6.6α	TBD
17.3	17.3.8α	TBD
16.12 (μόνο Catalyst 3650 και 3850)	16.12.10α	TBD

Και τα δύο τρωτά σημεία, τα οποία η Cisco παρακολουθεί ως

CSCwh87343

, βρίσκονται στη διεπαφή ιστού των συσκευών Cisco που εκτελούν το

λογισμικό

IOS XE. Το CVE-2023-20198 έχει τη μέγιστη βαθμολογία σοβαρότητας (10/10) ενώ στο CVE-2023-20273 έχει εκχωρηθεί υψηλή βαθμολογία σοβαρότητας 7,2.

Ο προμηθευτής του εξοπλισμού δικτύωσης λέει ότι ο παράγοντας απειλής εκμεταλλεύτηκε το κρίσιμο ελάττωμα για να αποκτήσει αρχική πρόσβαση στη

συσκευή

και στη συνέχεια “εξέδωσε μια εντολή προνομίου 15” για να δημιουργήσει έναν κανονικό τοπικό λογαριασμό.

Στις συσκευές Cisco, τα δικαιώματα για την έκδοση εντολών είναι κλειδωμένα σε επίπεδα από το μηδέν έως το 15, με το μηδέν να παρέχει πέντε βασικές εντολές (“logout”, “enable”, “disable”, “help” και “exit”) και το 15 είναι οι περισσότερες προνομιακό επίπεδο που παρέχει πλήρη έλεγχο της συσκευής.

Με τη μόχλευση του CVE-2023-20273, ο εισβολέας αύξησε τα δικαιώματα του νέου τοπικού χρήστη και πρόσθεσε ένα κακόβουλο σενάριο στο σύστημα αρχείων. Το εμφύτευμα δεν παρέχει ανθεκτικότητα και μια επανεκκίνηση θα το αφαιρέσει από το σύστημα.

Η εταιρεία προειδοποιεί ότι τα δύο τρωτά σημεία μπορούν να αξιοποιηθούν εάν είναι ενεργοποιημένη η δυνατότητα web UI (HTTP Server) της συσκευής, κάτι που είναι δυνατό μέσω του

διακομιστή ip http

ή

ip http ασφαλής διακομιστής

εντολές.

Οι διαχειριστές μπορούν να ελέγξουν εάν η δυνατότητα είναι ενεργή εκτελώντας το

μικρό

πώς τρέχει-config | συμπεριλάβετε ip http διακομιστή|ασφαλή|ενεργό

εντολή για έλεγχο της καθολικής διαμόρφωσης για το

διακομιστή ip http

ή το

ip http ασφαλής διακομιστής

Εντολές.

“Η παρουσία μιας εντολής ή και των δύο εντολών στη διαμόρφωση του συστήματος υποδηλώνει ότι η δυνατότητα διεπαφής ιστού είναι ενεργοποιημένη” –

Cisco

Ξαφνική

πτώση

των Hacked Cisco IOS XE hosts

Όταν η Cisco αποκάλυψε το CVE-2023-20198 στις 16 Οκτωβρίου ως μηδενική ημέρα εκμετάλλευσης στην άγρια φύση, οι ερευνητές ασφαλείας άρχισαν να αναζητούν παραβιασμένες συσκευές.

Τα αρχικά ευρήματα υπολόγισαν ότι περίπου 10.000 ευάλωτες συσκευές Cisco IOS XE είχαν μολυνθεί μέχρι την Τρίτη. Ο αριθμός αυξήθηκε γρήγορα σε περισσότερους από 40.000 μέσα σε λίγες μόνο ημέρες, καθώς περισσότεροι ερευνητές συμμετείχαν στην αναζήτηση.

Στις 20 Οκτωβρίου, η Cisco αποκάλυψε ότι το δεύτερο

zero-day

αξιοποιήθηκε στην ίδια καμπάνια για να πάρει τον πλήρη έλεγχο των συστημάτων που εκτελούν το λογισμικό IOS XE.

Ωστόσο, το Σαββατοκύριακο, οι ερευνητές είδαν μια απότομη πτώση στον αριθμό των κεντρικών υπολογιστών Cisco IOS XE που παραβιάστηκαν χρησιμοποιώντας τα δύο τρωτά σημεία zero-day, από περίπου 60.000 σε μόλις μερικές εκατοντάδες.

Δεν είναι σαφές τι προκάλεσε τη μυστηριώδη ξαφνική πτώση, αλλά μια θεωρία είναι ότι ο εισβολέας έχει αναπτύξει μια ενημέρωση για να κρύψει την παρουσία του και τα κακόβουλα εμφυτεύματα δεν είναι πλέον ορατά στις σαρώσεις.

Ο Piotr Kijewski, Διευθύνων Σύμβουλος του The Shadowserver Foundation είπε στο BleepingComputer ότι παρατήρησαν μια απότομη πτώση στα εμφυτεύματα από τις 21 Οκτωβρίου σε μόλις 107 συσκευές.

Ο λόγος για τον ξαφνικό χαμηλό αριθμό θα μπορούσε επίσης να είναι ότι ένας χάκερ με γκρίζο καπέλο επανεκκινεί αυτόματα τις μολυσμένες συσκευές για να αφαιρέσει το κακόβουλο εμφύτευμα.

Ωστόσο, δεν μπορούμε να γνωρίζουμε με βεβαιότητα έως ότου η Cisco ολοκληρώσει την έρευνά της και παράσχει μια δημόσια έκθεση ή άλλοι ερευνητές ασφαλείας καταλήξουν σε συμπέρασμα αναλύοντας ένα σύστημα Cisco IOS XE που έχει παραβιαστεί.

VIA:

bleepingcomputer.com

Παρόμοια άρθρα