A Cisco abordou as duas vulnerabilidades (CVE-2023-20198 e CVE-2023-20273) que hackers exploraram para comprometer dezenas de milhares de dispositivos IOS XE na semana passada.
O lançamento do software gratuito ocorre depois que um agente de ameaça aproveitou os problemas de segurança como zero-day para comprometer e assumir o controle total de mais de 50.000 hosts Cisco IOS XE.
Falhas crÃticas e de gravidade média
Em uma atualização do comunicado original, a Cisco afirma que a primeira versão fixa do software está disponÃvel no Centro de Download de Software da empresa.
No momento, a primeira versão fixa disponÃvel é a 17.9.4a, com atualizações a serem lançadas em data ainda não revelada.
Trem de lançamento do software Cisco IOS XE
Primeira versão fixa
DisponÃvel
17,9
17.9.4a
Sim
17.6
17.6.6a
A definir
17.3
17.3.8a
A definir
16.12 (somente Catalyst 3650 e 3850)
16.12.10a
A definir
Ambas as vulnerabilidades, que a Cisco rastreia como CSCwh87343, estão na UI da web dos dispositivos Cisco que executam o software IOS XE. CVE-2023-20198 tem a classificação de gravidade máxima (10/10), enquanto CVE-2023-20273 recebeu uma pontuação de gravidade alta de 7,2.
O fornecedor de equipamentos de rede diz que o agente da ameaça explorou a falha crÃtica para obter acesso inicial ao dispositivo e então “emitiu um comando de privilégio 15” para criar uma conta local normal.
Em dispositivos Cisco, as permissões para emitir comandos são bloqueadas em nÃveis de zero a 15, com zero fornecendo cinco comandos básicos (“logout”, “enable”, “disable”, “help” e “exit”) e 15 sendo o mais nÃvel privilegiado que fornece controle completo sobre o dispositivo.
Ao aproveitar o CVE-2023-20273, o invasor elevou os privilégios do novo usuário local para root e adicionou um script malicioso ao sistema de arquivos. O implante não fornece persistência e uma reinicialização irá removê-lo do sistema.
A empresa alerta que as duas vulnerabilidades podem ser exploradas se o recurso web UI (HTTP Server) do dispositivo estiver ativado, o que é possÃvel por meio dos comandos ip http server ou ip http secure-server.
Os administradores podem verificar se o recurso está ativo executando o comando show running-config | inclua o comando ip http server|secure|active para verificar a configuração global do ip http server ou dos comandos ip http secure-server.
“A presença de um comando ou de ambos os comandos na configuração do sistema indica que o recurso de UI da web está habilitado” - Cisco
Queda repentina em hosts Cisco IOS XE hackeados
Quando a Cisco divulgou o CVE-2023-20198 em 16 de outubro como uma exploração de dia zero, os pesquisadores de segurança começaram a procurar dispositivos comprometidos.
As descobertas iniciais estimaram que cerca de 10.000 dispositivos vulneráveis Cisco IOS XE foram infectados até terça-feira. O número cresceu rapidamente para mais de 40 mil em apenas alguns dias, à medida que mais pesquisadores se juntaram à pesquisa.
Em 20 de outubro, a Cisco divulgou o segundo dia zero explorado na mesma campanha para assumir o controle total dos sistemas que executam o software IOS XE.
No fim de semana, porém, os pesquisadores observaram uma queda acentuada no número de hosts Cisco IOS XE invadidos usando as duas vulnerabilidades de dia zero, de cerca de 60.000 para apenas algumas centenas.
Não está claro o que causou a misteriosa queda repentina, mas uma teoria é que o invasor implantou uma atualização para ocultar sua presença e os implantes maliciosos não são mais visÃveis nas verificações.
Piotr Kijewski, CEO da Shadowserver Foundation, disse ao BleepingComputer que eles observaram uma queda acentuada nos implantes desde 21 de outubro para apenas 107 dispositivos.
Contagem de dispositivos Cisco IOS XE hackeados caifonte: The ShadowServer Foundation
O motivo do número baixo repentino também pode ser o fato de um hacker de chapéu cinza ter reiniciado automaticamente os dispositivos infectados para remover o implante malicioso.
No entanto, não podemos ter certeza até que a Cisco conclua sua investigação e forneça um relatório público ou que outros pesquisadores de segurança cheguem a uma conclusão sobre a análise de um sistema Cisco IOS XE violado.
Depois de publicar este artigo, pesquisadores da empresa de segurança cibernética Fox-IT publicaram novas informações que explicam por que o número de dispositivos Cisco IOS XE comprometidos despencou recentemente.
A Fox-IT afirma que o código malicioso em dezenas de milhares de dispositivos “foi alterado para verificar um valor de cabeçalho HTTP de autorização antes de responder” e que o uso de um método diferente mostra que 37.890 ainda estão comprometidos.
Os pesquisadores aconselham os administradores de sistemas IOS XE que têm a interface web exposta na internet a fazer uma triagem forense e fornecer um repositório com as etapas necessárias para verificar se o implante estava ativo no host.
O repositório também fornece um método alternativo para verificar dispositivos em busca da presença de código malicioso plantado durante a campanha de hack do Cisco IOS XE.
Atualização [12h16, EDT]: Adicionadas informações de pesquisadores da Fox-IT dizendo que os dispositivos Cisco IOS XE hackeados não são mais visÃveis porque o implante malicioso neles foi modificado para verificar um valor de cabeçalho de solicitação de autorização antes de responder.
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/cisco-patches-ios-xe-zero-days-used-to-hack-over-50-000-devices/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga Samir News em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #cisco #corrige #zerodays #do #ios #xe #usado #para #hackear #mais #de #50.000 #dispositivos
Postar um comentário