Общедоступный эксплойт усиливает риск кибератак на Cisco IOS XE

Эксплойт для критической уязвимости CVE-2023-20198 в Cisco IOS XE, использовавшийся для взлома десятков тысяч устройств, стал общедоступным. Cisco выпустила исправления для большинства версий IOS XE, однако тысячи систем по-прежнему скомпрометированы.

Исследователи из компании Horizon3.ai раскрыли методику, с помощью которой атакующий может обойти аутентификацию на уязвимых устройствах Cisco IOS XE. Специалисты показали, как злоумышленники могут использовать уязвимость высокой степени опасности для создания нового пользователя с правами уровня 15 (доступны все команды), что обеспечивает полный контроль над устройством.

Создание эксплойта стало возможным благодаря информации, полученной из приманки (honeypot), которая была установлена командой SECUINFRA для задач цифровой криминалистики и реагирования на инциденты.

Cisco обновила свой бюллетень безопасности для CVE-2023-20198, объявив о выпуске обновлений для IOS XE, устраняющих уязвимость. В настоящий момент версия 17.3 остается единственной, все еще подверженной проблеме, так как новый релиз еще не доступен. Компания также устранила проблему в обновлениях обслуживания программного обеспечения (Software Maintenance Updates, SMU). Новые версии программного обеспечения доступны в Центре загрузки ПО Cisco.

По данным Shodan, угроза может затронуть до 80 000 устройств, подключенных к сети, но это число внезапно уменьшилось вскоре после того, как многие взломанные устройства стали невидимыми, когда хакеры изменили вредоносный код, добавив проверку заголовка авторизации перед ответом. По состоянию на 26 октября, в сети обнаружено около 28 900 хостов Cisco IOS XE с признаками компрометации.