Cisco ha identificat una segona vulnerabilitat zero-day en el seu programari IOS XE, fins i tot quan el nombre de dispositius compromesos sembla estar disminuint. La setmana passada, Cisco va alertar els seus usuaris sobre una explotació activa d’un zero-day des de mitjans de setembre. Aquesta vulnerabilitat crítica, etiquetada com CVE-2023-20198, afecta la interfície web de IOS XE i pot ser explotada a distància per atacants no autenticats per establir comptes d’alt privilegi en dispositius Cisco.
Un cop aquests atacants estableixen nous comptes i obtenen privilegis de sistema arrel, despleguen un implant basat en Lua, permetent-los executar qualsevol ordre. Inicialment, Cisco creia que els atacants estaven explotant una vulnerabilitat anterior de IOS XE, CVE-2021-1435, per desplegar aquest implant. No obstant això, després d’observar atacs en sistemes amb pegats, sospitaven que un altre zero-day podria estar en joc. Cisco ha confirmat ara l’explotació d’un segon zero-day, CVE-2023-20273, per lliurar l’implant.
Anteriorment, Cisco només oferia estratègies de mitigació, però ara han llançat pegats per ambdues vulnerabilitats. Malgrat això, les organitzacions han de prendre mesures addicionals per netejar els seus sistemes. Al cim de la campanya, les empreses de ciberseguretat van detectar més de 40.000 switches i routers Cisco compromesos, amb algunes estimacions que arriben als 53.000 dispositius. No obstant això, dades recents de la Fundació Shadowserver indiquen una reducció significativa, identificant el backdoor en només 100 sistemes.
Mentre que el compte creat a través de l’explotació de CVE-2023-20198 roman, l’implant no persisteix després d’un reinici del dispositiu. Actualment, no hi ha informació sobre els atacants o els seus objectius. L’agència de ciberseguretat dels EUA, CISA, ha proporcionat orientació sobre com abordar ambdues vulnerabilitats i les ha afegit al seu Catàleg de Vulnerabilitats Explotades Conegudes, instigant a les agències federals a abordar-les immediatament.
Source: SecurityWeek
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.