A Cisco anunciou a identificação de uma vulnerabilidade de dia zero anteriormente desconhecida CVE-2023-20198 no servidor web Cisco IOS XE. A vulnerabilidade afeta dispositivos físicos e virtuais que executam o Cisco IOS XE, que também possuem a função de servidor HTTP(S) habilitada. A vulnerabilidade recebeu a classificação de gravidade máxima de 10 em 10 pontos possíveis na escala CVSS. O patch que cobre a vulnerabilidade ainda não está pronto.
A vulnerabilidade permite que um hacker crie uma conta com nível de privilégio máximo (15) em um dispositivo conectado à Internet sem autenticação, o que lhe dá controle total sobre o sistema comprometido. A empresa disse que rastreou como um invasor explorou a vulnerabilidade para obter privilégios de nível de administrador em dispositivos executando IOS XE e, em seguida, contornou os patches usando uma vulnerabilidade de execução remota de código (RCE) de 2021 (CVE-2021-1435) mais antiga para instalar Lua. -implantar nos sistemas afetados.
Sinais de atividade de invasor usando a vulnerabilidade CVE-2023-20198 foram registrados em setembro. Jacob Baines, diretor de tecnologia da VulnCheck, disse que sua empresa encontrou cerca de 10.000 sistemas baseados em Cisco IOS XE com o implante instalado – e isso foi o resultado da varredura de apenas metade dos dispositivos afetados usando os mecanismos de busca Shodan e Censys. O fato de todos os sistemas Cisco IOS XE comprometidos terem o mesmo código malicioso instalado sugere que por trás dos ataques existe um único invasor que está tentando instalar malware em todos os dispositivos vulneráveis que aparecem em seu caminho.
Pesquisadores do Detectify compartilham desta opinião. Eles acreditam que o invasor por trás disso está atacando aleatoriamente todos os sistemas afetados que encontram: “Os invasores parecem estar lançando uma rede ampla, tentando explorar sistemas sem qualquer propósito específico”. A empresa acredita que o criminoso planeja encontrar algo que possa prometer lucro no futuro. Os pesquisadores do Detectify também concordaram com Baines que dispositivos desbloqueados podem ser facilmente encontrados usando mecanismos de busca como o Shodan.
A Cisco ainda não lançou um patch para resolver a falha de dia zero. A empresa recomenda que as organizações desabilitem imediatamente o recurso de servidor web em dispositivos baseados em IOS XE com acesso à Internet. Em 17 de outubro, a Cisco atualizou suas orientações, observando que controlar o acesso ao servidor usando listas de acesso também ajudaria: “Avaliamos com alto grau de confiança, com base em uma compreensão mais profunda da exploração, que as listas de acesso aplicadas ao servidor HTTP A função de restringir o acesso de hosts e redes não confiáveis é um meio eficaz de proteção.”