Spoločnosť Cisco upozornilo na aktívne zneužívanie dvoch zero-day zraniteľností. Napadnutých bolo viac ako 50 000 zariadení s operačným systémom IOS XE. Zraniteľnosti útočníkovi umožňujú zvýšenie práv na úroveň root.

Zraniteľné systémy:

Cisco IOS WE softvér

Opis činnosti:

CVE-2023-20198 (CVSS skóre 10)

Kritická zraniteľnosť CVE-2023-20198 sa nachádza vo funkcii webového používateľského rozhrania (Web UI) v operačnom systéme Cisco IOS XE. Zraniteľnosť môže vzdialený neautentifikovaný útočník zneužiť na vytvorenie lokálneho používateľa s úrovňou práv 15, najvyššou úrovňou práv.

CVE-2023-20273 (CVSS skóre 7,2)

Zero-day zraniteľnosť CVE-2023-20273 umožňuje prevzatie kontroly vzdialenému neprihlásenému útočníkovi na postihnutých zariadeniach. Zraniteľnosť dovoľuje kvôli nedostatočnej kontrole používateľských vstupov injektovať príkazy v systéme IOS XE s oprávnanieami root.

Napadnutých bolo viac ako 50 000 zariadení využívajúcich IOS XE. Útočník mazal záznamy a odstraňoval používateľov, pravdepodobne aby skryl svoju činnosť. Zraniteľnosti sú aktívne zneužívané.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Vzdialené vykonávanie príkazov
  • Kompromitácia dôvernosti, dostupnosti a integrity systému
  • Eskalácia privilégií

Odporúčania:

  • Bezodkladná aktualizácia z verzie 17.9 na verziu 17.9.4a, z verzie 17.6 na verziu 17.6.6a, z verzie 17.3 na verziu 17.3.8a, z verzie 16.12 na verziu 16.12.10a
  • Zakázať funkciu HTTP Server pomocou príkazu no ip http server alebo no ip http secure-server

Odkazy:

https://www.bleepingcomputer.com/news/security/over-40-000-cisco-ios-xe-devices-infected-with-backdoor-using-zero-day/

https://nvd.nist.gov/vuln/detail/CVE-2023-20198

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

https://www.tenable.com/cve/CVE-2023-20273

Zdroj: csirt.gov.sk