Cisco je upozorio na novu grešku nultog dana u IOS XE koju je aktivno iskoristio nepoznati haker za postavljanje zlonamjernog implantata zasnovanog na Lua-i na osjetljivim uređajima.
Praćen kao CVE-2023-20273 (CVSS rezultat: 7,2), problem se odnosi na propust eskalacije privilegija u funkciji web korisničkog sučelja i kaže se da se koristio zajedno sa CVE-2023-20198 (CVSS rezultat: 10,0) kao dio lanca eksploatacije.
“Napadač je prvo iskoristio CVE-2023-20198 da dobije početni pristup i izdao privilege 15 naredbu za kreiranje kombinacije lokalnog korisnika i lozinke”, navodi Cisco u ažuriranom savjetu objavljenom u petak. “Ovo je omogućilo korisniku da se prijavi sa normalnim korisničkim pristupom.”
“Napadač je tada iskoristio drugu komponentu web UI funkcije, koristeći novog lokalnog korisnika da podigne privilegiju za root i upiše implantat u sistem datoteka”, nedostatak kojem je dodijeljen identifikator CVE-2023-20273.
Portparol Cisco-a je za The Hacker News rekao da je identifikovana ispravka koja pokriva obe ranjivosti i da će biti dostupna korisnicima od 22. oktobra 2023. U međuvremenu, preporučuje se da se onemogući funkcija HTTP servera.
Iako je Cisco ranije spomenuo da je sada zakrpljena sigurnosna greška u istom softveru ( CVE-2021-1435 ) iskorišćena za instaliranje backdoor-a, kompanija je procijenila da ranjivost više nije povezana s aktivnošću u svjetlu otkrića novog nultog dana.
“Udaljeni haker bez autentifikacije mogao bi iskoristiti ove ranjivosti da preuzme kontrolu nad pogođenim sistemom,” izjavila je američka Agencija za sajber sigurnost i sigurnost infrastrukture (CISA). “Konkretno, ove ranjivosti omogućavaju hakeru da kreira privilegovani nalog koji pruža potpunu kontrolu nad uređajem.”
Uspješno iskorištavanje grešaka moglo bi omogućiti napadačima da steknu neometan daljinski pristup ruterima i switche-vima, nadgledaju mrežni promet, ubacuju i preusmjeravaju mrežni promet, te ga koriste kao stalni mostobran na mreži zbog nedostatka rješenja zaštite za ove uređaje.
Razvoj događaja dolazi pošto se procjenjuje da su više od 41.000 Cisco uređaja koji koriste ranjivi IOS XE softver kompromitovali hakeri koristeći dvije sigurnosne greške, prema podacima Censys i LeakIX .
“19. oktobra, broj kompromitovanih Cisco uređaja se smanjio na 36.541”, saopštila je firma za upravljanje površinama napada. “Primarni ciljevi ove ranjivosti nisu velike korporacije, već manji entiteti i pojedinci.”
Ažuriranje
Cisco je službeno objavio ažuriranja softvera kako bi riješila dvije aktivno iskorištavane sigurnosne greške za Cisco IOS XE program izdanja 17.9, sa ispravkama za verzije 17.6, 17.3 i 16.12 u izradi.
Izvor: The Hacker News