Af Eskil Sørensen, 11/12/23
The Shadowserver Foundation har observeret en stigning i antallet af enheder, der er hacket via sårbarheder i Cisco IOS XE. Det skriver Dark Reading og en række andre medier i dag på baggrund af et opslag fra nonprofit-organisationen Shadowserver Foundation.
Der er tale om to sårbarheder CVE-2023-20198 (CVSS-score på 10) og CVE-2023-20273 (CVSS-score på 7,2) i produkter, der blev rettet i oktober. Allerede dengang advarede Cisco om, at sårbarhederne var blevet udnyttet som 0-dagssårbarheder.
Udfordringen med de to sårbarheder er, at en angriber kan udnytte CVE-2023-20198 til at opnå høje privilegier på en sårbar enhed og oprette en ny brugerkonto. Herefter kan angriberen logge ind på den nye konto og udnytte CVE-2023-20273 til at injicere og udføre kommandoer med root-rettigheder.
Kort efter at Cisco advarede kunder om fejlene, blev der identificeret omkring 50.000 inficerede switche og routere. Tæt på 40.000 var stadig inficeret flere dage senere, efter at angriberne havde opdateret deres implantat.
Nu siger Shadowserver, at tallet er nede på mere end 23.000 enheder. Der er dog sket en stigning i infektioner i slutningen af sidste uge, hovedsageligt i Mexico og Chile, hvilket får Shadowserver til at spekulere i, om en kampagne under opsejling. Antallet af inficerede enheder har ellers været faldende gennem hele november.
Cisco har frigivet IOS XE-softwareversionerne 17.9, 17.6, 17.3 og 16.12 for at rette begge sårbarheder. Organisationer rådes til at identificere eventuelle sårbare apparater i deres miljøer og implementere de relevante patches så hurtigt som muligt. Cisco opfordrer også til, at man undersøge sit netværk for ondsindet aktivitet.
Links:
https://www.securityweek.com/exploitation-of-recent-cisco-ios-xe-vulnerabilities-spikes/