Một lỗ hổng zero-day mới được phát hiện (CVE-2023-20198) trong tính năng Web UI của Cisco IOS XE đang gây ra mối quan tâm. Lỗ hổng này ảnh hưởng đến các thiết bị có chức năng HTTP/HTTPS Server mở rộng khi kết nối với internet hoặc các mạng không đáng tin cậy. Web UI là một ứng dụng quản trị hệ thống dựa trên giao diện người dùng đồ họa được thiết kế để đơn giản hóa việc quản lý hệ thống. Tuy nhiên, do các rủi ro bảo mật tiềm ẩn, người ta khuyến nghị không nên tiết lộ Web UI ra internet hoặc các mạng không đáng tin cậy.
Cisco đã phát hiện hoạt động đáng ngờ trên một thiết bị của khách hàng bắt đầu từ ngày 18 tháng 9, và đã được xác nhận vào ngày 28 tháng 9. Hoạt động này liên quan đến việc tạo một tài khoản ‘cisco_tac_admin’ từ một địa chỉ IP không thông thường. Vào ngày 12 tháng 10, Cisco Talos Incident Response và TAC đã xác định hoạt động liên quan nơi một người dùng không được ủy quyền đã tạo một tài khoản ‘cisco_support’. Người dùng này đã triển khai một implant để thiết lập một điểm kết thúc máy chủ web mới cho việc thực thi lệnh ở cấp độ hệ thống hoặc IOS. Mặc dù implant không được lưu trữ cố định, nó tạo các tài khoản người dùng ở cấp độ quản trị viên.
Lỗ hổng này có điểm số CVSS ở mức cực kỳ nguy hiểm, 10 điểm, cho phép kẻ tấn công có quyền truy cập và kiểm soát hoàn toàn bộ định tuyến. Người thực hiện đã khai thác một lỗ hổng khác, CVE-2021-1435, để cài đặt implant trên các thiết bị đã được vá lỗ hoàn chỉnh. Implant này, được lập trình bằng Lua, cho phép thực thi lệnh tuỳ ý.
Cisco đã công bố chi tiết về lỗ hổng này, bao gồm mức độ nghiêm trọng của nó được xếp vào “Rất nghiêm trọng”. Các tổ chức có khả năng bị ảnh hưởng được khuyến nghị tuân theo hướng dẫn của PSIRT của Cisco, kiểm tra người dùng không thông thường và chạy một lệnh chỉ định để phát hiện sự hiện diện của implant trong Web UI. Nếu lệnh trả về một chuỗi hệ thập lục phân, implant hiện diện. Cisco cũng cung cấp các chỉ số về sự xâm nhập, bao gồm các địa chỉ IP và tên người dùng liên quan đến hoạt động này.
Source: Cyber Security News
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.