Cisco определила вторую уязвимость zero-day в своем программном обеспечении IOS XE, даже когда количество скомпрометированных устройств, кажется, уменьшается. На прошлой неделе Cisco предупредила своих пользователей о том, что уязвимость zero-day активно эксплуатировалась с середины сентября. Эта критическая уязвимость, помеченная как CVE-2023-20198, влияет на веб-интерфейс IOS XE и может быть удаленно эксплуатирована неаутентифицированными злоумышленниками для создания учетных записей с высокими привилегиями на устройствах Cisco.
После того как эти атакующие создают новые учетные записи и получают системные привилегии root, они развертывают имплантат на базе Lua, позволяя им выполнять любую команду. Изначально Cisco полагала, что атакующие эксплуатируют более старую уязвимость IOS XE, CVE-2021-1435, чтобы развернуть этот имплантат. Однако после наблюдения за атаками на заплативших системах они заподозрили, что может быть задействована еще одна уязвимость zero-day. Теперь Cisco подтвердила эксплуатацию второй уязвимости zero-day, CVE-2023-20273, для доставки имплантата.
Ранее Cisco предлагала только стратегии смягчения последствий, но теперь они выпустили патчи для обеих уязвимостей. Несмотря на это, организациям необходимо принять дополнительные меры для очистки своих систем. На пике кампании компании по кибербезопасности обнаружили более 40 000 скомпрометированных коммутаторов и маршрутизаторов Cisco, некоторые оценки достигли 53 000 устройств. Однако недавние данные от Фонда Shadowserver указывают на значительное сокращение, обнаруживая задний проход только в 100 системах.
Хотя учетная запись, созданная через эксплуатацию CVE-2023-20198, остается, имплантат не сохраняется после перезагрузки устройства. В настоящее время нет информации о нападавших или их целях. Агентство кибербезопасности США, CISA, предоставило руководство по устранению обеих уязвимостей и добавило их в свой каталог известных эксплуатированных уязвимостей, призывая федеральные агентства немедленно решить эту проблему.
Source: SecurityWeek
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.