Cisco a corrigé les deux vulnérabilités (CVE-2023-20198 et CVE-2023-20273) que les pirates ont exploitées pour compromettre des dizaines de milliers d’appareils IOS XE au cours de la semaine dernière.
La version gratuite du logiciel intervient après qu’un acteur malveillant ait exploité les problèmes de sécurité sous forme de Zero Day pour compromettre et prendre le contrôle total de plus de 50 000 hôtes Cisco IOS XE.
Défauts critiques et de gravité moyenne
Dans une mise à jour de l’avis original, Cisco indique que la première version logicielle corrigée est disponible auprès du site Web de l’entreprise. Centre de téléchargement de logiciels.
Pour le moment, la première version corrigée disponible est la 17.9.4a, avec des mises à jour à déployer à une date encore non divulguée.
Train de versions du logiciel Cisco IOS XE | Première version corrigée | Disponible |
---|---|---|
17.9 | 17.9.4a | Oui |
17.6 | 17.6.6a | À déterminer |
17.3 | 17.3.8a | À déterminer |
16.12 (Catalyst 3650 et 3850 uniquement) | 16.12.10a | À déterminer |
Les deux vulnérabilités, que Cisco suit comme étant CSCwh87343, se trouvent dans l’interface utilisateur Web des appareils Cisco exécutant le logiciel IOS XE. CVE-2023-20198 a le score de gravité maximum (10/10), tandis que CVE-2023-20273 s’est vu attribuer un score de gravité élevé de 7,2.
Le fournisseur d’équipement réseau affirme que l’auteur de la menace a exploité la faille critique pour obtenir un premier accès à l’appareil, puis « a émis une commande privilège 15 » pour créer un compte local normal.
Sur les appareils Cisco, les autorisations pour émettre des commandes sont verrouillées sur des niveaux allant de zéro à 15, zéro fournissant cinq commandes de base (« déconnexion », « activer », « désactiver », « aide » et « quitter ») et 15 étant le niveau le plus élevé. niveau privilégié qui offre un contrôle complet sur l’appareil.
En exploitant CVE-2023-20273, l’attaquant a élevé les privilèges du nouvel utilisateur local et ajouté un script malveillant au système de fichiers. L’implant n’assure pas de persistance et un redémarrage le supprimera du système.
La société prévient que les deux vulnérabilités peuvent être exploitées si la fonctionnalité d’interface utilisateur Web (serveur HTTP) de l’appareil est activée, ce qui est possible via le serveur http ip ou serveur sécurisé IP http commandes.
Les administrateurs peuvent vérifier si la fonctionnalité est active en exécutant le scomment exécuter-config | inclure le serveur http ip | sécurisé | actifcommande pour vérifier la configuration globale du serveur http ip ou la serveur sécurisé IP http Commandes.
« La présence de l’une ou des deux commandes dans la configuration du système indique que la fonctionnalité de l’interface utilisateur Web est activée » – Cisco
Chute soudaine des hôtes Cisco IOS XE piratés
Lorsque Cisco a divulgué CVE-2023-20198 le 16 octobre comme un jour zéro exploité dans la nature, les chercheurs en sécurité ont commencé à rechercher des appareils compromis.
Les premiers résultats estimaient qu’environ 10 000 appareils vulnérables Cisco IOS XE avaient été infectés mardi. Ce nombre a rapidement augmenté pour atteindre plus de 40 000 en quelques jours seulement, à mesure que davantage de chercheurs se joignaient aux recherches.
Le 20 octobre, Cisco a révélé que le deuxième jour zéro était exploité dans le cadre de la même campagne visant à prendre le contrôle total des systèmes exécutant le logiciel IOS XE.
Au cours du week-end, cependant, les chercheurs ont constaté une forte baisse du nombre d’hôtes Cisco IOS XE piratés à l’aide des deux vulnérabilités zero-day, passant d’environ 60 000 à quelques centaines seulement.
On ne sait pas exactement ce qui a causé cette mystérieuse chute soudaine, mais une théorie est que l’attaquant a déployé une mise à jour pour masquer sa présence et que les implants malveillants ne sont plus visibles dans les analyses.
Piotr Kijewski, PDG de la Shadowserver Foundation, a déclaré à BleepingComputer avoir observé une forte baisse du nombre d’implants depuis le 21 octobre, à seulement 107 appareils.
La raison de ce chiffre soudainement faible pourrait également être qu’un pirate informatique au chapeau gris a automatiquement redémarré les appareils infectés pour supprimer l’implant malveillant.
Cependant, nous ne pouvons pas en être sûrs tant que Cisco n’aura pas terminé son enquête et fourni un rapport public ou que d’autres chercheurs en sécurité n’auront pas conclu en analysant un système Cisco IOS XE piraté.