Хакеры захватили IOS XE, компания Cisco выпускает экстренное исправление

Компания Cisco приступила к устранению двух критических zero-day уязвимостей ( CVE-2023-20198 и CVE-2023-20273 ), о которых мы уже сообщали несколько дней назад. Недостатки безопасности активно использовались злоумышленниками на протяжении последней недели для успешного взлома более 50 тысяч устройств Cisco IOS XE .

Cisco отслеживает обе уязвимости под идентификатором « CSCwh87343 », а находятся они в веб-интерфейсе устройств, на которых запущено ПО IOS XE. CVE-2023-20198 имеет максимальный рейтинг серьёзности — 10/10 по шкале CVSS , в то время как CVE-2023-20273 присвоено 7,2 балла.

Компания сообщила, что устранила уязвимости в релизе IOS XE 17.9.4a, который можно загрузить и установить с официального сайта Cisco. Позже обновления выйдут и для версий 17.6, 17.3, 16.12.

Поставщик сетевого оборудования сообщает, что злоумышленники сначала использовали критическую уязвимость для доступа к устройству, а затем «выполнили команду с привилегией 15» для создания обычной локальной учётной записи.

На устройствах Cisco разрешения на выдачу команд ограничены уровнями от 0 до 15, при этом 0 предоставляет пять основных команд («разлогиниться», «включить», «отключить», «справка» и «выход»), а 15 является наиболее привилегированным уровнем, обеспечивающим полный контроль над устройством.

Злоумышленники, смогли повысить привилегии новосозданной локальной учётной записи до уровня «root», эксплуатируя CVE-2023-20273, и затем добавили вредоносный скрипт в файловую систему.

В Cisco предупреждают, что обе уязвимости могут быть использованы хакерами, если функция веб-интерфейса (HTTP-сервер) включена, что возможно с помощью команд «ip http server» или «ip http secure-server».

Администраторы могут проверить, активна ли функция, выполнив команду «show running-config | include ip http server|secure|active», чтобы проверить глобальную конфигурацию для ip http-сервера или команд ip http secure-server.

«Наличие одной или обеих команд в конфигурации системы указывает на то, что функция веб-интерфейса включена», — сообщает Cisco.

«Заражения выглядят как массовые взломы», — заявил Марк Эллзи, старший исследователь безопасности в Censys . «Рано или поздно хакеры найдут время проверить, что у них есть и чего стоят украденные данные».

После раскрытия информации о CVE-2023-20198, исследователи стали искать заражённые устройства в Интернете. За выходные количество взломанных устройств резко снизилось с 60 000 до нескольких сотен. Причина этого резкого падения, по мнению исследователей из компании Fox-IT , в том, что вредоносный код на десятках тысяч устройств «был изменён для проверки значения HTTP-заголовка авторизации перед ответом», и что реальное количество заражённых устройств на самом деле не изменилось.

Исследователи советуют администраторам систем IOS XE проверить их устройства на наличие вредоносного кода, а также в обязательном порядке обновить их до самой последней версии.