Хакеры захватили IOS XE, компания Cisco выпускает экстренное исправление

Компания Cisco приступила к устранению двух критических zero-day уязвимостей ( CVE-2023-20198 и CVE-2023-20273 ), о которых мы уже сообщали несколько дней назад. Недостатки безопасности активно использовались злоумышленниками на протяжении последней недели для успешного взлома более 50 тысяч устройств Cisco IOS XE.

Cisco отслеживает обе уязвимости под идентификатором « CSCwh87343 », а находятся они в веб-интерфейсе устройств, на которых запущено ПО IOS XE. CVE-2023-20198 имеет максимальный рейтинг серьёзности — 10/10 по шкале CVSS, в то время как CVE-2023-20273 присвоено 7,2 балла.

Компания сообщила, что устранила уязвимости в релизе IOS XE 17.9.4a, который можно загрузить и установить с официального сайта Cisco. Позже обновления выйдут и для версий 17.6, 17.3, 16.12.

Поставщик сетевого оборудования сообщает, что злоумышленники сначала использовали критическую уязвимость для доступа к устройству, а затем «выполнили команду с привилегией 15» для создания обычной локальной учётной записи.

На устройствах Cisco разрешения на выдачу команд ограничены уровнями от 0 до 15, при этом 0 предоставляет пять основных команд («разлогиниться», «включить», «отключить», «справка» и «выход»), а 15 является наиболее привилегированным уровнем, обеспечивающим полный контроль над устройством.

Злоумышленники, смогли повысить привилегии новосозданной локальной учётной записи до уровня «root», эксплуатируя CVE-2023-20273, и затем добавили вредоносный скрипт в файловую систему.

В Cisco предупреждают, что обе уязвимости могут быть использованы хакерами, если функция веб-интерфейса (HTTP-сервер) включена, что возможно с помощью команд «ip http server» или «ip http secure-server».

Администраторы могут проверить, активна ли функция, выполнив команду «show running-config | include ip http server|secure|active», чтобы проверить глобальную конфигурацию для ip http-сервера или команд ip http secure-server.

«Наличие одной или обеих команд в конфигурации системы указывает на то, что функция веб-интерфейса включена», — сообщает Cisco.

«Заражения выглядят как массовые взломы», — заявил Марк Эллзи, старший исследователь безопасности в Censys. «Рано или поздно хакеры найдут время проверить, что у них есть и чего стоят украденные данные».

После раскрытия информации о CVE-2023-20198, исследователи стали искать заражённые устройства в Интернете. За выходные количество взломанных устройств резко снизилось с 60 000 до нескольких сотен. Причина этого резкого падения, по мнению исследователей из компании Fox-IT, в том, что вредоносный код на десятках тысяч устройств «был изменён для проверки значения HTTP-заголовка авторизации перед ответом», и что реальное количество заражённых устройств на самом деле не изменилось.

Исследователи советуют администраторам систем IOS XE проверить их устройства на наличие вредоносного кода, а также в обязательном порядке обновить их до самой последней версии.