Cisco a averti aujourd’hui les administrateurs d’une nouvelle vulnérabilité de gravité maximale dans son logiciel IOS XE qui peut permettre aux attaquants d’obtenir tous les privilèges d’administrateur et de prendre le contrôle total des routeurs concernés.

La société affirme que la vulnérabilité critique (suivie comme CVE-2023-20198 et toujours en attente d’un correctif) affecte uniquement les appareils physiques et virtuels exécutés avec la fonctionnalité d’interface utilisateur Web (Web UI) activée, sur lesquels la fonctionnalité de serveur HTTP ou HTTPS est également activée.

« Cisco a identifié l’exploitation active d’une vulnérabilité jusqu’alors inconnue dans la fonctionnalité Web User Interface (Web UI) du logiciel Cisco IOS XE (CVE-2023-20198) lorsqu’elle est exposée à Internet ou à des réseaux non fiables », a déclaré la société. révélé aujourd’hui.

« L’exploitation réussie de cette vulnérabilité permet à un attaquant de créer un compte sur l’appareil concerné avec un accès de niveau de privilège 15, lui accordant ainsi le contrôle total de l’appareil compromis et permettant une éventuelle activité non autorisée ultérieure. »

Les attaques ont été découvertes le 28 septembre par le centre d’assistance technique (TAC) de Cisco après des rapports faisant état d’un comportement inhabituel sur un appareil client.

Cisco a identifié une activité connexe remontant au 18 septembre à la suite d’une enquête plus approfondie sur les attaques. L’activité malveillante impliquait un utilisateur autorisé créant un compte d’utilisateur local avec le nom d’utilisateur « cisco_tac_admin » à partir d’une adresse IP suspecte (5.149.249[.]74).

La société a découvert une activité connexe supplémentaire le 12 octobre, lorsqu’un compte d’utilisateur local « cisco_support » a été créé à partir d’une deuxième adresse IP suspecte (154.53.56[.]231). Ils ont également déployé un implant malveillant pour exécuter des commandes arbitraires au niveau du système ou de l’IOS.

« Nous estimons que ces groupes d’activités ont probablement été menés par le même acteur. Les deux groupes semblaient proches l’un de l’autre, l’activité d’octobre semblant s’appuyer sur celle de septembre », a déclaré Cisco.

« Le premier cluster était peut-être la tentative initiale de l’acteur de tester son code, tandis que l’activité d’octobre semble montrer que l’acteur étendait ses opérations pour inclure l’établissement d’un accès persistant via le déploiement de l’implant. »

Mesures d’atténuation

La société a conseillé aux administrateurs de désactiver la fonctionnalité du serveur HTTP sur les systèmes connectés à Internet, ce qui supprimerait le vecteur d’attaque et bloquerait les attaques entrantes.

« Cisco recommande fortement aux clients de désactiver la fonctionnalité HTTP Server sur tous les systèmes connectés à Internet. Pour désactiver la fonctionnalité HTTP Server, utilisez la commande no ip http server ou no ip http secure-server en mode de configuration globale », indique la société. dit.

« Après avoir désactivé la fonctionnalité du serveur HTTP, utilisez le copier la configuration en cours de configuration de démarrage commande pour enregistrer le configuration en cours d’exécution. Cela garantira que la fonctionnalité du serveur HTTP ne sera pas activée de manière inattendue en cas de rechargement du système.

Si les serveurs HTTP et HTTPS sont utilisés, les deux commandes sont requises pour désactiver la fonctionnalité du serveur HTTP.

Il est également fortement recommandé aux organisations de rechercher des comptes d’utilisateurs inexpliqués ou récemment créés comme indicateurs potentiels d’activités malveillantes associées à cette menace.

Une approche pour détecter la présence de l’implant malveillant sur les appareils Cisco IOS XE compromis consiste à exécuter la commande suivante sur l’appareil, où l’espace réservé « DEVICEIP » représente l’adresse IP faisant l’objet de l’enquête :

curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"

« Nous travaillons sans relâche pour fournir un correctif logiciel et nous invitons vivement nos clients à prendre des mesures immédiates comme indiqué dans l’avis de sécurité. Cisco fournira une mise à jour sur l’état de notre enquête via l’avis de sécurité », a déclaré le directeur des communications de sécurité de Cisco. Meredith Corley a déclaré à BleepingComputer dans une déclaration par courrier électronique.

Le mois dernier, Cisco a averti ses clients de corriger une autre vulnérabilité zero-day (CVE-2023-20109) dans ses logiciels IOS et IOS XE ciblée par les attaquants sauvages.

Mise à jour : ajout d’une déclaration de Cisco.