Okända aktörer exploaterar den senaste Cisco IOS XE Zero-day för att få adminåtkomst till nätverksenheter.
Cisco upptäckte tecken på potentiellt skadlig aktivitet den 28 september 2023 när ett ärende öppnades med Ciscos tekniska assistanscenter (TAC) som identifierade ovanligt beteende på en av kundernas enhet. Vid vidare undersökning observerade Cisco vad de hade kommit fram till vara relaterad aktivitet redan den 18 september. Aktiviteten inkluderade en auktoriserad användare som skapade ett lokalt användarkonto med användarnamnet "cisco_tac_admin" från en misstänkt IP-adress (5.149.249.74). Denna aktivitet upphörde den 1 oktober och vid den tiden observerade Cisco inget annat associerat beteende utöver det misstänkta kontoskapandet.
Den 12 oktober upptäckte Cisco Talos Incident Response (Talos IR) och TAC ett kluster av relaterad aktivitet. En obehörig användare skapade ett lokalt användarkonto med namnet "cisco_support" från en misstänkt IP-adress (154.53.56.231). Denna aktivitet involverade att implementera en konfigurationsfil ("cisco_service.conf"), som definierade en ny webbserverpunkt för interaktion. Denna punkt tillät aktören att utföra godtyckliga kommandon på system- eller IOS-nivå. För att aktivera konfigurationsfilen var det nödvändigt att starta om webbservern. I åtminstone ett fall gjordes inte detta, vilket förhindrade att konfigurationen blev aktiv.
Detaljerna om den senaste Cisco zero-day-sårbarheten, CVE-2023-20198, är att det är en privilege escalation-sårbarhet i Cisco IOS XE-programvaras Web-UI när den exponeras mot internet eller icke betrodda nätverk. En angripare kan utnyttja denna sårbarhet för att skapa ett konto med level 15 access och ta kontroll över det drabbade systemet. Sårbarheten utnyttjas aktivt i nuläget av angripare.
Den rekommenderade åtgärdsstrategin från Cisco är att inaktivera HTTP Server-funktionen på alla system som är åtkomliga från internet, genom att använda kommandona 'no ip http server' eller 'no ip http secure-server' i det global konfigurationsläget. Om både HTTP- och HTTPS-servrar används krävs båda kommandona för att inaktivera funktionen. Ytterligare ett effektivt sätt att mitigera denna sårbarhet är att implementera accesslistor för att begränsa åtkomsten från icke betrodda hostar och nätverk.
En mer detaljerad genomgång av sårbarheten hittar man på Cisco Talos blogg:
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
Tvivla inte att höra av dig till oss om du eller ditt företag har ytterligare frågor eller funderingar på hur ni ska mitigera risker som denna zero-day-bakdörr.
.png)
