MKD-CIRT National Centre for Computer Incident Response
Задната врата вградена на уредите на Cisco со искористување на пар нула-дневни недостатоци во софтверот IOS XE е модифицирана од актерот за закана за да избегне видливост преку претходните методи за отпечатоци.
„Истражуваниот мрежен сообраќај до компромитиран уред покажа дека актерот за закана го надградил имплантот за да направи дополнителна проверка на насловот“, рече тимот на Fox-IT на NCC Group. „Така, за многу уреди, имплантот е сè уште активен, но сега реагира само ако е поставено правилното заглавие за овластување HTTP“.
Нападите подразбираат обликување на CVE-2023-20198 (CVSS резултат: 10.0) и CVE-2023-20273 (CVSS резултат: 7.2) во синџир на експлоатација што му дава на актерот за закана можност да добие пристап до уредите, да создаде привилегирана сметка, и на крајот распореди имплант базиран на Lua на уредите.
Развојот доаѓа кога Cisco почна да објавува безбедносни ажурирања address the issues за да ги реши проблемите, а повеќе ажурирања ќе дојдат на сè уште необјавен датум.
Во моментов не е познат точниот идентитет на актерот за закана зад кампањата, иако се проценува дека бројот на засегнати уреди е во илјадници, врз основа на податоците споделени од VulnCheck и компанијата за управување со површини за напад Censys.
„Инфекциите изгледаат како масовни хакирање“, изјави Марк Елзи, постар истражувач за безбедност во Censys, за The Hacker News. „Можеби ќе дојде време кога хакерите ќе поминат низ она што го имаат и ќе сфатат дали нешто вреди “.
Сепак, бројот на компромитирани уреди драстично се намали во текот на изминатите неколку дена, опаѓајќи од приближно 40.000 на неколку стотици, што доведе до шпекулации дека можеби имало некои промени под хаубата за да се сокрие неговото присуство.
Најновите измени на имплантот откриени од Fox-IT ја објаснуваат причината за ненадејниот и драматичен пад, бидејќи повеќе од 37.000 уреди се забележани дека сè уште се компромитирани со имплантот.
Cisco, од своја страна, ја потврди,
промената на однесувањето во своите ажурирани совети, споделувајќи команда за curl што може да се издаде од работна станица за да се провери присуството на имплантот на уредите –
curl -k -H “Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb” -X POST “https://systemip/webui/logoutconfirm.html?logon_hash=1”
„Ако барањето врати хексадецимална низа како што е 0123456789abcdef01, имплантот е присутен“, забележа Cisco.
„Додавањето на проверка на насловот во имплантот од страна на напаѓачите е веројатно реактивна мерка за да се спречи идентификација на компромитирани системи“, додаде компанијата.
„Оваа проверка на заглавието првенствено се користи за да се спречи компромисна идентификација, [и] веројатно резултираше со неодамнешен остар пад на видливоста на заразените системи со кои се соочува јавноста“.
Извор:thehackernews.com