Tusindvis af Cisco IOS XE-systemer kompromitteret

Ny mulighed for afhjælpning af risiko for udnyttelse.

Atter har cyberkriminelle vist sig skræmmende effektive i udnyttelse af sårbarheder. Blot en dag efter, at Cisco orienterede kunder og omverdenen om en 0-dagssårbarhed i Cisco IOS XE viser en Shodan-scanning, at mindst 10.000 Cisco-enheder er inficeret med et ondsindet implantat.

Det skriver en række medier på baggrund af en blogpost fra sikkerhedsfirmaet VulnCheck, der har lavet scanningen. VulnCheck har i den forbindelse udsendt en vejledning til, hvordan man kan opdage implantatet på en inficeret enhed.

Cisco har endnu ikke patchet sårbarheden, der har fået den maksimale score på CVSS-skalaen. Sårbarheden har id’et CVE-2023-20198 og blev kendt for offentligheden, da Cisco selv kom ud med nyheden mandag den 16. oktober. Men Cisco var tilsyneladende ikke de første med den nyhed, da der allerede på det tidspunkt blev advaret om udnyttelsesaktivitet ’in-the-wild’.

Angiveligt havde en angriber opnået administratorrettigheder på IOS XE-enheder og i en tilsyneladende patch-bypass, misbrugt en ældre fejl ved fjernudførelse af kode (RCE) fra 2021 (CVE-2021-1435) til at droppe et Lua-languageimplantat på berørte systemer.

Det fremgår af Dark Reading, der citerer CTO’en hos VulnCheck, at det er uklart, om der er tale om målrettede angreb, eller om der har været skudt med spredehagl. På den ene side tyder udnyttelsen af to forskellige sårbarheder på, at der er tale om målrettede angreb fra en eller få aktører. På den anden side ser de inficerede enheder ud til at være lokaliseret over hele verden. Dette – og de mange inficerede enheder – peger på mere ’opportunistiske’ angreb, som det hedder på cyberlingo i de tilfælde, hvor cyberkriminelle bare skyder på alle muligheder for at skabe profit. Altså udnytte alt tilgængeligt først og derefter tage stilling til, hvad der er interessant.

Patch endnu ikke tilgængelig

Cisco har endnu ikke udgivet en patch til håndtering af sårbarheden, men anbefalede ifm. offentliggørelsen af 0-dagssårbarheden, at organisationer med berørte systemer straks deaktiverer HTTPS Server-funktionen på internetvendte IOS XE-enheder. I går supplerede Cisco sin anbefaling med, at risikoen for udnyttelse af sårbarheden kan afhjælpes ved styring af adgang til HTTPS-serverfunktionen ved hjælp af adgangslister.

Cisco har i en erklæring til Dark Reading oplyst, at virksomheden ’arbejder non-stop’ for at levere en softwarefix. Indtil da opfordrer Cisco sine kunder til straks at anvende de afhjælpende foranstaltninger.  

DKCERT anbefaler, at Ciscos opfordring følges.

Links:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
https://cert.dk/da/news/2023-10-17/Kritisk-saarbarhed-Cisco-IOS-XE-software
https://www.bleepingcomputer.com/news/security/over-10-000-cisco-devices-hacked-in-ios-xe-zero-day-attacks/

https://vulncheck.com/blog/cisco-implants
https://www.darkreading.com/attacks-breaches/ten-thousand-cisco-ios-xe-systems-compromised-zero-day-bug
https://securityaffairs.com/152626/hacking/cve-2023-20198-cisco-ios-xe-devices.html