A Cisco encontrou uma segunda vulnerabilidade de dia zero do IOS XE explorada ativamente, com a empresa divulgando-a no momento em que o número de dispositivos hackeados parece ter caído significativamente.
A gigante das redes alertou os clientes na semana passada que os agentes de ameaças exploraram o dia zero desde pelo menos meados de setembro. A falha crítica, rastreada como CVE-2023-20198, afeta a interface web IOS XE e pode ser explorada por invasores remotos e não autenticados para criar contas com altos privilégios em dispositivos Cisco direcionados.
Depois de criar novas contas em dispositivos e obter privilégios de root no sistema, os invasores foram observados entregando um Implante baseado em Lua que lhes permite executar comandos arbitrários.
A Cisco disse inicialmente que os invasores exploraram uma vulnerabilidade de injeção de comando IOS XE mais antiga rastreada como CVE-2021-1435 para implantar o implante, mas observou que também detectou ataques em sistemas corrigidos contra esta vulnerabilidade, sugerindo que outro dia zero pode estar envolvido.
A empresa confirmou agora que um segundo dia zero foi explorado para entregar o implante. Esta nova falha de segurança é rastreada como CVE-2023-20273.
“O invasor explorou primeiro o CVE-2023-20198 para obter acesso inicial e emitiu um comando de privilégio 15 para criar uma combinação local de usuário e senha. Isso permitiu que o usuário fizesse login com acesso normal”, explicou a Cisco em seu consultivo. “O invasor então explorou outro componente do recurso de interface da web, aproveitando o novo usuário local para elevar o privilégio de root e gravar o implante no sistema de arquivos.”
Não se acredita mais que CVE-2021-1435 esteja envolvido nesses ataques, disse a Cisco.
Quando divulgou os ataques pela primeira vez, a Cisco forneceu apenas mitigações, mas a empresa já lançou patches para ambas as vulnerabilidades. Contudo, além de instalar os patches, as organizações precisarão realizar outras etapas para limpar seus sistemas.
Várias empresas de segurança cibernética começaram a escanear a Internet em busca de sistemas invadidos como parte desta campanha e, a certa altura, identificaram mais de 40.000 switches e roteadores Cisco comprometidos, com alguns vendo até 53.000 dispositivos.
A indústria de segurança cibernética está vendo agora um queda acentuada no número de dispositivos infectados, com a Shadowserver Foundation encontrar o backdoor em apenas 100 sistemas.
CERT Orange Cyberdefense acredita que os invasores podem estar e alertou que provavelmente ainda existem muitos dispositivos hackeados, mesmo que eles não apareçam mais nas verificações.
É importante notar que embora a conta criada através da exploração do CVE-2023-20198 seja persistente, o implante não é e é removido quando o dispositivo é reiniciado.
Não há informações disponíveis sobre quem pode estar por trás desses ataques ou qual pode ser o seu objetivo.
A agência de segurança cibernética dos EUA CISA divulgou orientação para abordar CVE-2023-20198 e CVE-2023-20273. Ele também adicionou ambas as vulnerabilidades ao seu Catálogo de vulnerabilidades exploradas conhecidasinstruindo as agências federais a abordá-los imediatamente.
