Spoločnosť Cisco upozornilo na aktívne zneužívanie dvoch zero-day zraniteľností. Napadnutých bolo viac ako 50 000 zariadení s operačným systémom IOS XE. Zraniteľnosti útočníkovi umožňujú zvýšenie práv na úroveň root.
Zraniteľné systémy:
Cisco IOS WE softvér
Opis činnosti:
CVE-2023-20198 (CVSS skóre 10)
Kritická zraniteľnosť CVE-2023-20198 sa nachádza vo funkcii webového používateľského rozhrania (Web UI) v operačnom systéme Cisco IOS XE. Zraniteľnosť môže vzdialený neautentifikovaný útočník zneužiť na vytvorenie lokálneho používateľa s úrovňou práv 15, najvyššou úrovňou práv.
CVE-2023-20273 (CVSS skóre 7,2)
Zero-day zraniteľnosť CVE-2023-20273 umožňuje prevzatie kontroly vzdialenému neprihlásenému útočníkovi na postihnutých zariadeniach. Zraniteľnosť dovoľuje kvôli nedostatočnej kontrole používateľských vstupov injektovať príkazy v systéme IOS XE s oprávnanieami root.
Napadnutých bolo viac ako 50 000 zariadení využívajúcich IOS XE. Útočník mazal záznamy a odstraňoval používateľov, pravdepodobne aby skryl svoju činnosť. Zraniteľnosti sú aktívne zneužívané.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Vzdialené vykonávanie príkazov
- Kompromitácia dôvernosti, dostupnosti a integrity systému
- Eskalácia privilégií
Odporúčania:
- Bezodkladná aktualizácia z verzie 17.9 na verziu 17.9.4a, z verzie 17.6 na verziu 17.6.6a, z verzie 17.3 na verziu 17.3.8a, z verzie 16.12 na verziu 16.12.10a
- Zakázať funkciu HTTP Server pomocou príkazu no ip http server alebo no ip http secure-server
Odkazy:
https://nvd.nist.gov/vuln/detail/CVE-2023-20198
https://www.tenable.com/cve/CVE-2023-20273
Zdroj: csirt.gov.sk