Cisco đã xác định một lỗ hổng zero-day thứ hai trong phần mềm IOS XE của mình, ngay cả khi số lượng thiết bị bị xâm nhập dường như đang giảm. Tuần trước, Cisco đã cảnh báo người dùng của mình về việc khai thác tích cực một lỗ hổng zero-day từ giữa tháng Chín. Lỗ hổng này, được gắn mác là CVE-2023-20198, ảnh hưởng đến giao diện web của IOS XE và có thể bị khai thác từ xa bởi những kẻ tấn công không được xác thực để thiết lập tài khoản có quyền cao trên các thiết bị của Cisco.
Một khi những kẻ tấn công này thiết lập tài khoản mới và có quyền hệ thống root, họ triển khai một bộ nhúng dựa trên Lua, cho phép họ thực thi bất kỳ lệnh nào. Ban đầu, Cisco tin rằng những kẻ tấn công này đang khai thác một lỗ hổng IOS XE cũ hơn, CVE-2021-1435, để triển khai bộ nhúng này. Tuy nhiên, sau khi quan sát các cuộc tấn công trên các hệ thống đã được vá, họ nghi ngờ có thể có một lỗ hổng zero-day khác đang được sử dụng. Cisco hiện đã xác nhận việc khai thác một lỗ hổng zero-day thứ hai, CVE-2023-20273, để triển khai bộ nhúng.
Trước đây, Cisco chỉ đề xuất các chiến lược giảm thiểu rủi ro, nhưng bây giờ họ đã phát hành các bản vá cho cả hai lỗ hổng. Mặc dù vậy, các tổ chức cần thực hiện các biện pháp bổ sung để làm sạch hệ thống của mình. Tại thời điểm cao điểm của chiến dịch, các công ty bảo mật mạng đã phát hiện ra hơn 40.000 thiết bị chuyển mạch và bộ định tuyến Cisco bị xâm nhập, với một số ước tính lên đến 53.000 thiết bị. Tuy nhiên, dữ liệu gần đây từ Quỹ Shadowserver cho thấy sự giảm đáng kể, chỉ xác định cửa sau trên 100 hệ thống.
Dù tài khoản được tạo ra thông qua việc khai thác CVE-2023-20198 vẫn tồn tại, bộ nhúng không tồn tại sau khi thiết bị được khởi động lại. Hiện tại, không có thông tin gì về những kẻ tấn công hoặc mục tiêu của họ. Cơ quan bảo mật mạng của Mỹ, CISA, đã cung cấp hướng dẫn về việc giải quyết cả hai lỗ hổng và đã thêm chúng vào Danh mục Lỗ hổng Được Khai thác Biết đến của mình, khuyến cáo các cơ quan liên bang cần xử lý chúng ngay lập tức.
Source: SecurityWeek
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.