Недавно обнаруженная уязвимость zero-day (CVE-2023-20198) в функции Web UI системы Cisco IOS XE вызывает опасения. Эта уязвимость затрагивает устройства с функциональностью сервера HTTP/HTTPS, доступную при подключении к интернету или ненадежным сетям. Web UI представляет собой приложение для администрирования системы на основе графического пользовательского интерфейса, разработанное для упрощения управления системой. Однако из-за потенциальных рисков безопасности рекомендуется не предоставлять доступ к Web UI из интернета или ненадежных сетей.
Cisco обнаружила подозрительную активность на устройстве клиента, начавшуюся 18 сентября и подтвержденную 28 сентября. Эта активность связана с созданием учетной записи ‘cisco_tac_admin’ с необычного IP-адреса. К 12 октября служба реагирования на инциденты Cisco Talos и TAC выявили связанную активность, в ходе которой несанкционированный пользователь создал учетную запись ‘cisco_support’. Этот пользователь развернул имплант для создания новой точки доступа веб-сервера для выполнения команд на уровне системы или IOS. Несмотря на то, что имплант не сохраняется постоянно, он создает учетные записи пользователей с правами администратора.
Уязвимость имеет критический показатель CVSS равный 10, предоставляя злоумышленникам полный административный доступ и контроль над маршрутизатором. Атакующий использовал другую уязвимость, CVE-2021-1435, чтобы установить имплант на полностью обновленные устройства. Этот имплант, написанный на языке Lua, позволяет произвольно выполнять команды.
Cisco опубликовала подробности об уязвимости, включая ее критичность как “Критическая”. Потенциально затронутым организациям рекомендуется следовать руководству PSIRT от Cisco, проверять на наличие необычных пользователей и выполнять указанную команду для обнаружения присутствия импланта в Web UI. Если команда возвращает шестнадцатеричную строку, имплант присутствует. Cisco также предоставила индикаторы компрометации, включая конкретные IP-адреса и имена пользователей, связанные с этой активностью.
Source: Cyber Security News
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.