Cisco моли клиентите си незабавно да деактивират функцията HTTPS Server на всички свои устройства IOS XE, насочени към интернет, за да се предпазят от критична уязвимост от типа нулев ден в уеб потребителския интерфейс на операционната система, която нападателят активно използва.
Cisco IOS XE е операционната система, която Cisco използва за своето мрежово оборудване за предприятия от следващо поколение.
Недостатъкът, обозначен като CVE-2023-20198, засяга всички устройства Cisco IOS XE, които имат активирана функция Web UI. Към момента не е налична кръпка или друго решение за този недостатък, който Cisco описва като проблем с повишаване на привилегиите, който позволява пълно превземане на устройството. Cisco е определила на уязвимостта максималната възможна оценка за сериозност от 10 от 10 по скалата на CVSS.
„Уязвимостта позволява на отдалечен, неавтентифициран нападател да създаде акаунт в засегнатата система с ниво на привилегии 15“, заяви Cisco в консултация от 16 октомври относно новия бъг от нулев ден. „След това нападателят може да използва този акаунт, за да получи контрол над засегнатата система.“ Ниво на привилегии 15 в система Cisco IOS по принцип означава пълен достъп до всички команди, включително тези за презареждане на системата и извършване на промени в конфигурацията.
Неизвестен нападател се е възползвал от този недостатък, за да получи достъп до Cisco, интернет устройства IOS XE и да пусне имплант на езика Lua, който улеснява изпълнението на произволни команди в засегнатите системи. За да пусне имплантанта, хакерът е използвал друг недостатък – CVE-2021-1435 – уязвимост със средна степен на сериозност за инжектиране на команди в компонента Web UI на IOS XE, която Cisco е закърпила през 2021 г. Извършителят на заплахата е успял да достави импланта успешно дори на устройства, които са напълно закърпени срещу CVE-2021-1435, чрез все още неопределен механизъм, заявиха изследователите от Cisco Talos в отделна консултация.
Cisco заяви, че за първи път е получила информация за новата уязвимост, когато е реагирала на инцидент, включващ необичайно поведение на клиентско устройство на 28 септември. Последвалото разследване на компанията показа, че злонамерената дейност, свързана с уязвимостта, всъщност може да е започнала още на 18 септември. Този първи инцидент е завършил с това, че нападателят е използвал недостатъка, за да създаде локален потребителски акаунт с администраторски права от подозрителен IP адрес.
На 12 октомври екипът за реагиране при инциденти Talos на Cisco забеляза друго струпване на злонамерена дейност, свързана с недостатъка. Както и при първия инцидент, нападателят първоначално е създал локален потребителски акаунт от подозрителен IP адрес. Но този път участникът в заплахата е предприел няколко допълнителни злонамерени действия, включително пускане на имплант за инжектиране на произволна команда.
„За да стане имплантът активен, уеб сървърът трябва да бъде рестартиран“, казват от Cisco Talos. „В поне един наблюдаван случай сървърът не е бил рестартиран, така че имплантът никога не е станал активен, въпреки че е бил инсталиран“, отбелязват от Cisco. Самият имплант не е устойчив, което означава, че организацията може да се отърве от него чрез рестартиране на устройството.
Въпреки това локалните потребителски акаунти, които нападателите могат да създадат чрез CVE-2023-20198, са постоянни и дават на нападателите продължителен достъп на ниво администратор в засегнатите системи дори след рестартиране на устройството. Изследователите от Cisco Talos призовават организациите да бъдат нащрек за нови или необясними потребители на устройствата IOS XE като потенциално доказателство, че нападателите са използвали дефекта. Те също така предоставиха команда, която организациите могат да използват, за да определят дали имплантът е наличен на някое засегнато устройство.
„Силно препоръчваме на организациите, които могат да бъдат засегнати от тази дейност, незабавно да приложат указанията, изложени в консултацията на екипа за реагиране на инциденти със сигурността на продуктите на Cisco (PSIRT)“, заявиха от компанията. Cisco е преценила, че един и същ извършител стои зад двата клъстера от злонамерени дейности, свързани с новия недостатък.
Компонентът Web UI на Cisco IOS XE е функция за управление на системата, която позволява на администраторите да предоставят системата. Cisco го описва като опростяващ внедряването и управлението на системата. CVE-2023-20198 е втората значителна уязвимост, която Cisco разкрива в същата функция през последните седмици. През септември компанията разкри CVE-2023-20231 – уязвимост за инжектиране на команди, която също позволява на атакуващия да получи привилегии от 15-то ниво на устройствата IOS XE.
Грешките от нулев ден – и всички грешки, които дават възможност за привилегии на ниво администратор – в мрежови технологии като тези на Cisco са особено ценни за нападателите. Както отбелязват американската Агенция за киберсигурност и инфраструктурна сигурност (CISA) и редица други, мрежовите маршрутизатори комутатори, защитни стени, балансьори на натоварването и други подобни технологии са идеални цели, тъй като през тях трябва да преминава по-голямата част или целият трафик.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
