MKD-CIRT National Centre for Computer Incident Response
Напаѓачите ја искористија неодамна откриената критична нулта дневна бубачка за компромис и инфицирање на преку 10.000 Cisco IOS XE уреди со малициозни импланти.
Листата на производи кои работат на Cisco IOS XE софтверот вклучува преклопници за претпријатија, агрегација и индустриски рутери, пристапни точки, безжични контролери и други.
Според компанијата за разузнавање за закани VulnCheck, ранливоста со максимална сериозност (CVE-2023-20198) е интензивно искористена во нападите насочени кон Cisco IOS XE системите со овозможена функција за веб-кориснички интерфејс (Web UI), кои исто така ја имаат функцијата HTTP или HTTPS Server вклучено.
VulnCheck ги скенира веб-интерфејсите на Cisco IOS XE со кои се соочува интернет и откри илјадници заразени хостови. Компанијата објави и скенер за откривање на овие импланти на погодените уреди.
“Ова е лоша ситуација, бидејќи привилегираниот пристап на ИОС XE најверојатно им овозможува на напаѓачите да го следат мрежниот сообраќај, да вртат во заштитените мрежи и да извршат секаков број на напади во средина”, рече VulnCheck CTO Jacob Baines.
“Ако вашата организација користи IOS XE систем, императивно е да утврдите дали вашите системи се компромитирани и да преземат соодветни дејства откако имплантите ќе бидат откриени. Иако модификација сè уште не е достапна, можете да ја заштитите вашата организација со оневозможување на веб-интерфејсот и веднаш да ги отстраните сите менаџерски интерфејси од интернет.”
“VulnCheck отпечати околу 10.000 имплантирани системи, но ние скениравме само половина од уредите наведени на Shodan/Censys. Не сакавме да се посветиме на одреден број бидејќи се развива (се зголемува) додека ги продолжуваме нашите активности”, рече Baines за BleepingComputer.
Shodan пребарување на Cisco уреди со нивниот Web UI овозможено (shared by Aves Netsec CEO Simo Kohonen) моментално покажува повеќе од 140.000 интернет изложени уреди.
Internet-exposed Cisco devices with Web UI enabled (Shodan)
Cisco: Применете мерки за усовршување и барајте индикатори за прекршување
Во понеделникот, Cisco откри дека неавтентицираните напаѓачи можат да го искористат the IOS XE zero-day за да добијат целосни администраторски привилегии и да преземат целосна контрола врз погодените Cisco рутери и прекинувачи од далечина.
Компанијата ги предупреди администраторите да ја оневозможат функцијата на ранливиот HTTP сервер на сите системи со интернет свртување додека не стане достапна модификација.
Cisco ги откри нападите CVE-2023-20198 кон крајот на септември по извештаите за невообичаено однесување на уред за корисници добиени од Страна на Cisco технички помош центар (TAC). Доказите за овие напади датираат од 18 септември, кога напаѓачите биле забележани создавајќи локални кориснички сметки именувани како “cisco_tac_admin” и “cisco_support”.
Покрај тоа, напаѓачите распоредиле злонамерни импланти користејќи cVE-2021-1435 експлоатации и други непознати методи, овозможувајќи им да извршат произволни команди на нивоата на системот или IOS на компромитирани уреди.
“Ние оценуваме дека овие јата на активност најверојатно биле извршени од истиот актер. Двете јата се појавија блиску еден до друг, при што активноста во октомври се чини дека ќе ја надгради септемвриската активност”, рече Сиско
“Првото јато беше веројатно првичниот обид на актерот и тестирањето на нивниот код, додека октомвриската активност се чини дека го покажува актерот кој ја проширува нивната операција, вклучувајќи воспоставување на постојан пристап преку распоредување на имплантот.”.
Компанијата, исто така, издаде “силна препорака” за администраторите да бараат сомнителни или неодамна креирани кориснички сметки како потенцијални знаци на злонамерна активност поврзани со оваа закана.
Во септември, Cisco ги предупреди клиентите да поправат уште patch another zero-day vulnerability (CVE-2023-20109)во софтверот IOS и IOS XE, цел на диви напаѓачи.
Извор: BleepingComputer