Cisco попередила адміністраторів про новий обхід автентифікації максимального рівня нульового дня у своєму програмному забезпеченні IOS XE, який дозволяє неавтентифікованим зловмисникам отримати повні права адміністратора та віддалено повністю контролювати уражені маршрутизатори та комутатори. Про це повідомляє Bleeping Computer.
У компанії кажуть, що критична вразливість (відстежується як CVE-2023-20198 і все ще очікує на виправлення) впливає лише на пристрої, на яких увімкнено функцію вебінтерфейсу користувача (Web UI), на яких також увімкнено функцію HTTP або HTTPS Server.
«Cisco виявила активну експлуатацію раніше невідомої вразливості у функції вебінтерфейсу користувача (Web UI) програмного забезпечення Cisco IOS XE (CVE-2023-20198) під час роботи в Інтернеті або ненадійних мережах. Успішне використання цієї вразливості дає змогу зловмиснику створити обліковий запис на ураженому пристрої з рівнем привілеїв доступу 15, фактично надаючи йому повний контроль над скомпрометованим пристроєм і дозволяючи можливу подальшу несанкціоновану діяльність», – повідомила компанія.
Атаки були виявлені 28 вересня Центром технічної допомоги Cisco (TAC) після повідомлень про незвичайну поведінку на пристрої користувача.
Після подальшого розслідування атак компанія Cisco виявила пов’язану діяльність з 18 вересня. У зловмисній діяльності авторизований користувач створив локальний обліковий запис користувача з іменем користувача «cisco_tac_admin» із підозрілої IP-адреси (5.149.249[.]74).
12 жовтня компанія виявила додаткову активність, пов’язану з використанням CVE-2023-20198, коли локальний обліковий запис користувача «cisco_support» було створено з іншої підозрілої IP-адреси (154.53.56[.]231).
Зловмисники також розгорнули шкідливий імплантат для виконання довільних команд на рівні системи або IOS.
Компанія порадила адміністраторам вимкнути функцію HTTP-сервера в системах, що виходять в Інтернет, що усуне вектор атаки та заблокує вхідні атаки.
«Cisco рекомендує клієнтам вимкнути функцію HTTP-сервера на всіх системах, що підключаються до Інтернету. Щоб вимкнути функцію HTTP-сервера, скористайтеся командою no ip http server або no ip http secure-server у режимі глобальної конфігурації. Після вимкнення функції HTTP-сервера використовуйте команду copy running-configuration startup-configuration, щоб зберегти поточну конфігурацію. Це гарантує, що функція HTTP-сервера не буде несподівано увімкнена у разі перезавантаження системи», – заявили в компанії.
Якщо використовуються сервери HTTP і HTTPS, для вимкнення функції HTTP-сервера потрібні обидві команди.
Організаціям також рекомендують шукати незрозумілі або нещодавно створені облікові записи користувачів як потенційні індикатори зловмисної діяльності, пов’язаної з цією загрозою.
Один із підходів до виявлення присутності зловмисного імплантату на скомпрометованих пристроях Cisco IOS XE передбачає виконання наступної команди на пристрої, де заповнювач «DEVICEIP» представляє досліджувану IP-адресу:
curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"
«Ми працюємо безперервно, щоб забезпечити виправлення програмного забезпечення, і ми наполегливо закликаємо клієнтів вжити негайних заходів, як зазначено у пораді з безпеки. Cisco надасть оновлену інформацію про стан нашого розслідування через пораду з безпеки», – повідомила директор Cisco з комунікацій безпеки Мередіт Корлі.
Нагадаємо, минулого місяця Cisco попередила клієнтів виправити іншу вразливість нульового дня (CVE-2023-20109) у своєму програмному забезпеченні IOS та IOS XE.
Читайте також на ProIT: Cisco рекомендує перейти на першу систему HCI на базі Nutanix.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!