Cisco предупреди за нов недостатък от типа „нулев ден“ в IOS XE, който е бил активно използван от неизвестен хакер  за внедряване на зловреден имплант, базиран на Lua, в податливи устройства.

Проблемът, проследен като CVE-2023-20273 (CVSS score: 7.2), е свързан с дефект в повишаването на привилегиите във функцията на уеб потребителския интерфейс и се твърди, че е използван заедно с CVE-2023-20198 (CVSS score: 10.0) като част от верига от експлойти.

„Атакуващият първо е използвал CVE-2023-20198, за да получи първоначален достъп, и е издал команда за привилегии 15, за да създаде локална комбинация от потребител и парола“, заяви Cisco в актуализирана консултация, публикувана в петък. „Това позволи на потребителя да влезе в системата с нормален потребителски достъп.“

„След това нападателят използва друг компонент на функцията на уеб потребителския интерфейс, като използва новия локален потребител, за да повиши привилегиите си до root и да запише имплантата във файловата система.“ Това е недостатък, на който е присвоен идентификаторът CVE-2023-20273.

Говорител на Cisco заяви пред The Hacker News, че е идентифицирана поправка, която обхваща и двете уязвимости, и ще бъде предоставена на клиентите от 22 октомври 2023 г. Междувременно се препоръчва да се деактивира функцията на HTTP сървъра.

Макар че преди това Cisco спомена, че вече поправен недостатък в сигурността на същия софтуер (CVE-2021-1435) е бил използван за инсталиране на задната врата, компанията прецени, че уязвимостта вече не е свързана с тази дейност в светлината на откриването на новия нулев ден.

„Неупълномощен отдалечен хакер може да се възползва от тези уязвимости, за да поеме контрола над засегнатата система“, заяви Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA). „По-конкретно, тези уязвимости позволяват на хакера да създаде привилегирован акаунт, който осигурява пълен контрол над устройството.“

Успешното използване на бъговете може да позволи на нападателите да получат неограничен отдалечен достъп до рутери и комутатори, да наблюдават мрежовия трафик, да инжектират и пренасочват мрежовия трафик и да го използват като постоянен плацдарм към мрежата поради липсата на решения за защита на тези устройства.

Разработката идва в момент, в който по данни на Censys и LeakIX повече от 41 000 устройства на Cisco, работещи с уязвимия софтуер IOS XE, се оценяват като компрометирани от киберпрестъпни групи, използващи двата пропуски в сигурността.

„На 19 октомври броят на компрометираните устройства на Cisco е намалял до 36 541“, заяви фирмата за управление на повърхността на атаките. „Основните цели на тази уязвимост не са големите корпорации, а по-малките юридически и физически лица“.