10 na 10: w Cisco IOS XE odkryto krytyczną lukę typu zero-day, która umożliwiła pełną kontrolę nad 10 tysiącami urządzeń

Redaktor NetMaster
Redaktor NetMaster
3 min. czytania

Firma Cisco ogłosiła identyfikację nieznanej wcześniej luki typu zero-day CVE-2023-20198 w serwerze internetowym Cisco IOS XE. Luka dotyczy zarówno urządzeń fizycznych, jak i wirtualnych z systemem Cisco IOS XE, które mają również włączoną funkcję serwera HTTP(S). Luka otrzymała maksymalną ocenę ważności 10 z 10 możliwych punktów w skali CVSS. Łatka usuwająca lukę nie jest jeszcze gotowa.

Luka umożliwia hakerowi utworzenie konta z maksymalnym poziomem uprawnień (15) na urządzeniu podłączonym do Internetu bez uwierzytelniania, co zapewnia mu pełną kontrolę nad zaatakowanym systemem. Firma stwierdziła, że ​​śledziła, w jaki sposób osoba atakująca wykorzystała tę lukę w celu uzyskania uprawnień na poziomie administratora na urządzeniach z systemem IOS XE, a następnie ominęła poprawki, wykorzystując starszą lukę w zabezpieczeniach RCE (CVE-2021-1435) z 2021 r., aby zainstalować Lua -implant w dotkniętych układach.

Zdjęcie: Cisco

Oznaki aktywności atakującego wykorzystującego lukę CVE-2023-20198 odnotowano już we wrześniu. Jacob Baines, dyrektor ds. technologii w VulnCheck, powiedział, że jego firma znalazła około 10 000 systemów opartych na Cisco IOS XE z zainstalowanym implantem – a był to wynik przeskanowania tylko połowy dotkniętych urządzeń za pomocą wyszukiwarek Shodan i Censys. Fakt, że we wszystkich zaatakowanych systemach Cisco IOS XE zainstalowano ten sam złośliwy kod, sugeruje, że za atakami stoi pojedynczy napastnik, który próbuje zainstalować złośliwe oprogramowanie na wszystkich podatnych na ataki urządzeniach, jakie napotka.

Tę opinię podzielają badacze z Detectify. Uważają, że stojąca za tym osoba atakująca losowo atakuje każdy system, którego dotyczy problem: „Wygląda na to, że osoby atakujące zarzucają szeroką sieć, próbując wykorzystać systemy bez określonego celu”. Firma uważa, że ​​przestępca planuje znaleźć coś, co może obiecać zysk w przyszłości. Badacze z Detectify zgodzili się również z Bainesem, że urządzenia po jailbreaku można łatwo znaleźć za pomocą wyszukiwarek takich jak Shodan.

Firma Cisco nie wypuściła jeszcze łatki usuwającej lukę typu zero-day. Firma zaleca organizacjom natychmiastowe wyłączenie funkcji serwera WWW na urządzeniach z systemem IOS XE i dostępem do Internetu. 17 października firma Cisco zaktualizowała swoje wytyczne, zauważając, że pomocne byłoby również kontrolowanie dostępu do serwera za pomocą list dostępu: „Oceniamy z dużą pewnością, w oparciu o głębsze zrozumienie exploita, że ​​listy dostępu zastosowane do serwera HTTP Funkcja ograniczająca dostęp ze stron niezaufanych hostów i sieci jest skutecznym środkiem ochrony.

Powiązane materiały:

Internet stał się ofiarą największego w historii ataku DDoS z powodu luki HTTP/2 Rapid Reset typu zero-day PT Application Inspector obsługuje teraz zintegrowane środowiska programistyczne W magazynach Western Digital My Cloud odkryto niebezpieczną lukę Komputery jednopłytkowe z serii Orange Pi 5 na platformie Rockchip otrzymały 32 GB pamięci RAM Duże rosyjskie holdingi IT zaczęły tworzyć własne ekosystemy oprogramowania, aby zastąpić zagraniczne odpowiedniki

Udostępnij ten artykuł
Dodaj komentarz