Στο τέλος προστέθηκε ενημέρωση 23/10/23 εξηγώντας την αιτία των μειωμένων ανιχνεύσεων.
Ο αριθμός των συσκευών
Cisco
IOS XE που εντοπίστηκαν με ένα κακόβουλο εμφύτευμα κερκόπορτας μειώθηκε από περισσότερες από 50.000 επηρεασμένες
συσκευές
σε μερικές μόνο εκατοντάδες αφού οι εισβολείς ενημέρωσαν την κερκόπορτα για να κρύψουν τα μολυσμένα συστήματα από
τι
ς σαρώσεις.
Αυτή την εβδομάδα, η Cisco προειδοποίησε ότι οι χάκερ εκμεταλλεύτηκαν δύο τρωτά σημεία zero-day,
CVE-2023-20198
και CVE-2023-20273, για να χακάρουν πάνω από 50.000 συσκευές Cisco IOS XE για να δημιουργήσουν προνομιούχους λογαριασμούς χρηστών και να εγκαταστήσουν ένα κακόβουλο εμφύτευμα κερκόπορτας LUA.
Αυτό το εμφύτευμα LUA επιτρέπει στους παράγοντες απειλής
για την εξ αποστάσεως εκτέλεση εντολών στο επίπεδο προνομίων 15
το υψηλότερο επίπεδο προνομίων στη συσκευή.
Ωστόσο, αυτό το εμφύτευμα δεν περιλαμβάνει ανθεκτικότητα, που σημαίνει ότι μια επανεκκίνηση θα αφαιρέσει την πίσω πόρτα. Ωστόσο, τυχόν τοπικοί χρήστες που δημιουργήθηκαν κατά τη διάρκεια της επίθεσης θα παραμείνουν.
Από την δημοσίευση αυτής της είδησης, εταιρείες κυβερνοασφάλειας και ερευνητές βρήκαν ότι περίπου 60.000 από τις 80.000 εκτεθειμένες στο κοινό συσκευές Cisco ISO XE έχουν παραβιαστεί με αυτό το εμφύτευμα.
Μυστηριώδης
πτώση
στα ανιχνευμένα εμφυτεύματα Cisco
Το Σάββατο, πολλοί οργανισμοί κυβερνοασφάλειας ανέφεραν ότι ο αριθμός των συσκευών Cisco IOS XE με κακόβουλο εμφύτευμα έχει μειωθεί μυστηριωδώς από περίπου 60.000 συσκευές σε μόνο 100-1.200, ανάλογα με τις διαφορετικές σαρώσεις.
Ο ιδρυτής και CTO της Onyphe, Patrice Auffret, είπε στο BleepingComputer ότι πιστεύει ότι οι παράγοντες απειλών πίσω από τις επιθέσεις αναπτύσσουν μια ενημέρωση για να κρύψουν την παρουσία τους, με αποτέλεσμα να μην φαίνονται πλέον τα εμφυτεύματα στις σαρώσεις.
“Για δεύτερη συνεχόμενη ημέρα, βλέπουμε ότι ο αριθμός των εμφυτευμάτων έχει μειωθεί δραστικά σε σύντομο χρονικό διάστημα (δείτε τα στιγμιότυπα οθόνης). Βασικά, φαίνεται ότι έχουν σχεδόν όλα επανεκκινηθεί (καθώς το γνωστό εμφύτευμα δεν επιβιώνει μετά από επανεκκίνηση) ή έχουν ενημερωθεί.”
“Πιστεύουμε ότι είναι η ενέργεια από τον αρχικό παράγοντα απειλής που προσπαθεί να διορθώσει ένα πρόβλημα που δεν θα έπρεπε να υπάρχει από την αρχή. Το γεγονός ότι το εμφύτευμα ήταν τόσο εύκολο να εντοπιστεί από απόσταση ήταν ένα λάθος από την πλευρά τους.
“Πιθανότατα αναπτύσσουν μια ενημέρωση για να κρύψουν την παρουσία τους.”
Ο Piotr Kijewski, Διευθύνων Σύμβουλος του The Shadowserver Foundation, είπε επίσης στο BleepingComputer ότι έχουν δει απότομη πτώση στα εμφυτεύματα από τις 21/10, με τις σαρώσεις τους να βλέπουν μόνο 107 συσκευές με το κακόβουλο εμφύτευμα.
«Το εμφύτευμα φαίνεται να έχει αφαιρεθεί ή ενημερωθεί με κάποιο τρόπο», είπε ο Kijewski στο BleepingComputer μέσω email.
Αριθμός συσκευών Cisco IOS XE με κακόβουλο εμφύτευμα
Πηγή:
ShadowServer
Μια άλλη κοινή θεωρία είναι ότι ένας χάκερ με γκρίζο καπέλο αυτοματοποιεί την επανεκκίνηση των επηρεαζόμενων συσκευών Cisco IOS XE για να καθαρίσει το εμφύτευμα. ΕΝΑ
παρόμοια εκστρατεία παρατηρήθηκε το 2018
όταν ένας χάκερ ισχυρίστηκε ότι είχε επιδιορθώσει 100.000 δρομολογητές MikroTik, ώστε να μην γίνεται κατάχρηση για εκστρατείες
κρυπτο
γράφησης και DDoS.
Ωστόσο, η Orange Cyberdefense CERT για τον Όμιλο Orange είπε στο BleepingComputer ότι δεν πιστεύουν ότι ένας χάκερ με γκρίζο καπέλο βρίσκεται πίσω από τη μείωση των εμφυτευμάτων, αλλά μάλλον ότι αυτό θα μπορούσε να είναι μια νέα φάση εκμετάλλευσης.
“Λάβετε υπόψη ότι ένα πιθανό βήμα καθαρισμού ιχνών βρίσκεται σε εξέλιξη για την απόκρυψη του εμφυτεύματος (μετά την εκμετάλλευση του #CVE-2023-20198)”
έγραψε στο Twitter το Orange Cyberdefense CERT
.
“Ακόμη και αν έχετε απενεργοποιήσει το WebUI σας, σας συνιστούμε να πραγματοποιήσετε έρευνα για να βεβαιωθείτε ότι δεν έχουν προστεθεί κακόβουλοι χρήστες και ότι δεν έχει τροποποιηθεί η διαμόρφωσή του.”
Τελικά,
ερευνητής ασφαλείας Daniel Card
θεώρησε ότι οι πολλές συσκευές που παραβιάστηκαν με εμφυτεύματα ήταν απλώς ένα δόλωμα για να κρύψουν τους πραγματικούς στόχους στις επιθέσεις.
Δυστυχώς, εκείνη την εποχή, το μόνο που έχουμε είναι θεωρίες ως προς το τι προκάλεσε τις μειωμένες ανιχνεύσεις.
Ενημέρωση 23/10/23:
Σήμερα, η εταιρεία κυβερνοασφάλειας Fox-IT εξήγησε ότι η αιτία της ξαφνικής πτώσης των εντοπιζόμενων εμφυτευμάτων οφείλεται στους παράγοντες απειλών που κυκλοφόρησαν μια νέα έκδοση του backdoor σε συσκευές Cisco IOS XE.
Σύμφωνα με το Fox-IT, η νέα έκδοση εμφυτεύματος ελέγχει τώρα για μια κεφαλίδα Εξουσιοδότησης HTTP πριν απαντήσει.
«Παρατηρήσαμε ότι το εμφύτευμα που τοποθετήθηκε σε δεκάδες χιλιάδες συσκευές Cisco έχει τροποποιηθεί για να ελεγχθεί η τιμή της κεφαλίδας HTTP εξουσιοδότησης πριν απαντήσει», αναφέρει το
Ανάρτηση στο LinkedIn
.
Καθώς οι προηγούμενες μέθοδοι σάρωσης δεν χρησιμοποιούσαν κεφαλίδα εξουσιοδότησης, δεν υπήρξε απόκριση από το εμφύτευμα, κάνοντάς το να φαίνεται σαν να είχε αφαιρεθεί.
Η Cisco Talos επιβεβαίωσε την αλλαγή στις ενημερωμένες συμβουλές [
1
,
2
]μοιράζεται μια νέα εντολή curl που μπορεί να ανιχνεύσει το εμφύτευμα σε συσκευές Cisco ISO XE με κερκόπορτα.
Αυτή η εντολή είναι η ίδια με την προηγουμένως κοινόχρηστη μέθοδο, αλλά τώρα περιλαμβάνει μια κεφαλίδα «Εξουσιοδότηση» για να αναγκάσει το εμφύτευμα να ανταποκριθεί σε αιτήματα:
curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"
Το σύμβολο κράτησης θέσης DEVICEIP θα πρέπει να αντικατασταθεί με τη διεύθυνση IP της συσκευής που θέλετε να ελέγξετε για το εμφύτευμα.
Μόλις οι ερευνητές στράφηκαν στη χρήση της νέας κεφαλίδας «Εξουσιοδότηση», οι σαρώσεις έδειξαν ότι υπάρχουν τώρα 37.890 συσκευές Cisco ISO XE που έχουν μολυνθεί με το κακόβουλο εμφύτευμα κερκόπορτας.
VIA:
bleepingcomputer.com