Търсене
Close this search box.

Критична, непоправена грешка Zero-Day на Cisco се експлоатира активно

Cisco моли клиентите си незабавно да деактивират функцията HTTPS Server на всички свои устройства IOS XE, насочени към интернет, за да се предпазят от критична уязвимост от типа нулев ден в уеб потребителския интерфейс на операционната система, която нападателят активно използва.

Cisco IOS XE е операционната система, която Cisco използва за своето мрежово оборудване за предприятия от следващо поколение.
Недостатъкът, обозначен като CVE-2023-20198, засяга всички устройства Cisco IOS XE, които имат активирана функция Web UI. Към момента не е налична кръпка или друго решение за този недостатък, който Cisco описва като проблем с повишаване на привилегиите, който позволява пълно превземане на устройството. Cisco е определила на уязвимостта максималната възможна оценка за сериозност от 10 от 10 по скалата на CVSS.

CVE-2023-20198: Недостатък с максимална тежест

„Уязвимостта позволява на отдалечен, неавтентифициран нападател да създаде акаунт в засегнатата система с ниво на привилегии 15“, заяви Cisco в консултация от 16 октомври относно новия бъг от нулев ден. „След това нападателят може да използва този акаунт, за да получи контрол над засегнатата система.“ Ниво на привилегии 15 в система Cisco IOS по принцип означава пълен достъп до всички команди, включително тези за презареждане на системата и извършване на промени в конфигурацията.

Неизвестен нападател се е възползвал от този недостатък, за да получи достъп до Cisco, интернет устройства IOS XE и да пусне имплант на езика Lua, който улеснява изпълнението на произволни команди в засегнатите системи. За да пусне имплантанта, хакерът е използвал друг недостатък – CVE-2021-1435 – уязвимост със средна степен на сериозност за инжектиране на команди в компонента Web UI на IOS XE, която Cisco е закърпила през 2021 г. Извършителят на заплахата е успял да достави импланта успешно дори на устройства, които са напълно закърпени срещу CVE-2021-1435, чрез все още неопределен механизъм, заявиха изследователите от Cisco Talos в отделна консултация.

Cisco заяви, че за първи път е получила информация за новата уязвимост, когато е реагирала на инцидент, включващ необичайно поведение на клиентско устройство на 28 септември. Последвалото разследване на компанията показа, че злонамерената дейност, свързана с уязвимостта, всъщност може да е започнала още на 18 септември. Този първи инцидент е завършил с това, че нападателят е използвал недостатъка, за да създаде локален потребителски акаунт с администраторски права от подозрителен IP адрес.

Клъстер за злонамерена дейност, насочен към мрежите на Cisco

На 12 октомври екипът за реагиране при инциденти Talos на Cisco забеляза друго струпване на злонамерена дейност, свързана с недостатъка. Както и при първия инцидент, нападателят първоначално е създал локален потребителски акаунт от подозрителен IP адрес. Но този път участникът в заплахата е предприел няколко допълнителни злонамерени действия, включително пускане на имплант за инжектиране на произволна команда.

„За да стане имплантът активен, уеб сървърът трябва да бъде рестартиран“, казват от Cisco Talos. „В поне един наблюдаван случай сървърът не е бил рестартиран, така че имплантът никога не е станал активен, въпреки че е бил инсталиран“, отбелязват от Cisco. Самият имплант не е устойчив, което означава, че организацията може да се отърве от него чрез рестартиране на устройството.

Въпреки това локалните потребителски акаунти, които нападателите могат да създадат чрез CVE-2023-20198, са постоянни и дават на нападателите продължителен достъп на ниво администратор в засегнатите системи дори след рестартиране на устройството. Изследователите от Cisco Talos призовават организациите да бъдат нащрек за нови или необясними потребители на устройствата IOS XE като потенциално доказателство, че нападателите са използвали дефекта. Те също така предоставиха команда, която организациите могат да използват, за да определят дали имплантът е наличен на някое засегнато устройство.

Незабавно изпълнение на указанията

„Силно препоръчваме на организациите, които могат да бъдат засегнати от тази дейност, незабавно да приложат указанията, изложени в консултацията на екипа за реагиране на инциденти със сигурността на продуктите на Cisco (PSIRT)“, заявиха от компанията. Cisco е преценила, че един и същ извършител стои зад двата клъстера от злонамерени дейности, свързани с новия недостатък.

Компонентът Web UI на Cisco IOS XE е функция за управление на системата, която позволява на администраторите да предоставят системата. Cisco го описва като опростяващ внедряването и управлението на системата. CVE-2023-20198 е втората значителна уязвимост, която Cisco разкрива в същата функция през последните седмици. През септември компанията разкри CVE-2023-20231 – уязвимост за инжектиране на команди, която също позволява на атакуващия да получи привилегии от 15-то ниво на устройствата IOS XE.

Грешките от нулев ден – и всички грешки, които дават възможност за привилегии на ниво администратор – в мрежови технологии като тези на Cisco са особено ценни за нападателите. Както отбелязват американската Агенция за киберсигурност и инфраструктурна сигурност (CISA) и редица други, мрежовите маршрутизатори комутатори, защитни стени, балансьори на натоварването и други подобни технологии са идеални цели, тъй като през тях трябва да преминава по-голямата част или целият трафик.

Източник: DARKReading

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
Бъдете социални
Още по темата
17/04/2024

BMC на Intel и Lenovo съдър...

Нови открития на Binarly показват, че...
03/04/2024

Cisco пусна актуализации за...

Няколко продукта на Cisco, включително IOS,...
29/03/2024

Cisco предупреждава за атак...

Cisco сподели набор от препоръки за...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!