Cisco ha identificato una seconda vulnerabilità zero-day nel suo software IOS XE, anche se il numero di dispositivi compromessi sembra essere in diminuzione. La scorsa settimana, Cisco ha avvertito i suoi utenti di un’attiva sfruttamento di una vulnerabilità zero-day dal mese di settembre. Questa vulnerabilità critica, etichettata come CVE-2023-20198, colpisce l’interfaccia web di IOS XE e può essere sfruttata a distanza da aggressori non autenticati per stabilire account ad alto privilegio sui dispositivi Cisco.
Una volta che questi attaccanti stabiliscono nuovi account e ottengono privilegi di sistema root, essi implementano un impianto basato su Lua, consentendo loro di eseguire qualsiasi comando. Inizialmente, Cisco credeva che gli aggressori stessero sfruttando una vulnerabilità IOS XE più vecchia, CVE-2021-1435, per implementare questo impianto. Tuttavia, dopo aver osservato attacchi su sistemi aggiornati, sospettavano che un’altra vulnerabilità zero-day potesse essere in corso. Cisco ha ora confermato lo sfruttamento di una seconda zero-day, CVE-2023-20273, per fornire l’impianto.
In precedenza, Cisco offriva solo strategie di mitigazione, ma ora ha rilasciato patch per entrambe le vulnerabilità. Nonostante ciò, le organizzazioni devono adottare ulteriori misure per pulire i loro sistemi. Al culmine della campagna, le aziende di cybersecurity hanno rilevato oltre 40.000 switch e router Cisco compromessi, con alcune stime che arrivano a 53.000 dispositivi. Tuttavia, dati recenti della Shadowserver Foundation indicano una significativa riduzione, identificando il backdoor in soli 100 sistemi.
Mentre l’account creato attraverso lo sfruttamento di CVE-2023-20198 rimane, l’impianto non persiste dopo un riavvio del dispositivo. Al momento, non ci sono informazioni sugli attaccanti o sui loro obiettivi. L’agenzia statunitense per la cybersecurity, CISA, ha fornito linee guida su come affrontare entrambe le vulnerabilità e le ha aggiunte al suo Catalogo di Vulnerabilità Conosciute Sfruttate, esortando le agenzie federali a intervenire immediatamente.
Source: SecurityWeek
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.