Ο αριθμός των συσκευών Cisco IOS XE που έχουν υποστεί hacking με κακόβουλο backdoor έχει μυστηριωδώς μειωθεί από πάνω από 50.000 παραβιασμένες συσκευές σε μόλις μερικές εκατοντάδες, με τους ερευνητές να μην είναι σίγουροι για το τι προκαλεί αυτή την απότομη πτώση.
Δείτε επίσης: Cisco: Περισσότερες από 40.000 συσκευές IOS XE έχουν μολυνθεί με backdoor
Αυτή την εβδομάδα, η Cisco προειδοποίησε ότι χάκερ εκμεταλλεύτηκαν δύο ευπάθειες zero-day, τις CVE-2023-20198 και CVE-2023-20273, για να χακάρουν πάνω από 50.000 συσκευές Cisco IOS XE, δημιουργώντας προνομιούχους λογαριασμούς και εγκαθιστώντας κακόβουλο λογισμικό backdoor LUA.
Αυτό το backdoor LUA επιτρέπει στους εισβολείς να εκτελούν απομακρυσμένα εντολές σε επίπεδο προνομίου 15, το υψηλότερο επίπεδο προνομίου σε μία συσκευή. Καθώς αυτό το σύστημα δεν περιλαμβάνει μόνιμη επιμονή, πράγμα που σημαίνει ότι με την επανεκκίνηση θα αφαιρεθεί το backdoor. Ωστόσο, οι τοπικοί χρήστες που δημιουργήθηκαν κατά τη διάρκεια της επίθεσης θα παραμείνουν.
Από την ανακοίνωση αυτής της είδησης, εταιρείες κυβερνοασφάλειας και ερευνητές ανακάλυψαν ότι περίπου 60.000 από τις 80.000 δημοσίως εκτεθειμένες συσκευές Cisco ISO XE έχουν παραβιαστεί με αυτό το backdoor.
Το Σάββατο, πολλοί οργανισμοί κυβερνοασφάλειας ανέφεραν ότι ο αριθμός των συσκευών Cisco IOS XE με κακόβουλο backdoor μειώθηκε μυστηριωδώς από περίπου 60.000 συσκευές σε μόλις 100-1.200, ανάλογα με τις διάφορες αναζητήσεις. Ο Ιδρυτής και Τεχνικός Διευθυντής της Onyphe, Patrice Auffret, δήλωσε στο BleepingComputer ότι πιστεύει ότι οι δράστες πίσω από τις επιθέσεις αναπτύσσουν μια ενημέρωση για να κρύψουν την παρουσία τους, προκαλώντας έτσι την αδυναμία εντοπισμού των backdoor στις σαρώσεις.
Δείτε ακόμα: Cisco: Προειδοποιεί για μια νέα ευπάθεια στο λειτουργικό σύστημα IOS XE
Ο Piotr Kijewski, CEO του The Shadowserver Foundation, ανέφερε επίσης στο BleepingComputer ότι έχουν παρατηρήσει μια αισθητή μείωση των backdoor από τις 21/10, με τις σάρωσεις τους να εντοπίζουν μόνο 107 συσκευές με το κακόβουλο εμφύτευμα.
Μια άλλη θεωρία είναι ότι ένας grey-hat χάκερ αυτοματοποιεί την επανεκκίνηση των επηρεαζόμενων συσκευών Cisco IOS XE για να εξαλείψει το backdoor. Μια παρόμοια εκστρατεία παρατηρήθηκε το 2018 όταν ένας χάκερ υποστήριξε ότι έκανε ενημερώσεις σε 100.000 δρομολογητές MikroTik για να μην μπορούν να καταχραστούν για cryptojacking και εκστρατείες DDoS.
Ωστόσο, το CERT της Orange Cyberdefense για τον Όμιλο Orange δήλωσε στο BleepingComputer ότι δεν πιστεύουν ότι ένας χάκερ κρύβεται πίσω από τη μείωση των backdoor, αλλά ότι αυτό μπορεί να είναι μια νέα φάση εκμετάλλευσης.
Μια άλλη πιθανότητα που αναφέρει ο ερευνητής ασφάλειας Daniel Card είναι ότι οι πολλές συσκευές που παραβιάστηκαν ήταν απλώς ένα δόλωμα για να κρύψουν τους πραγματικούς στόχους στις επιθέσεις.
Δυστυχώς, αυτή τη στιγμή μπορούμε να κάνουμε μόνο θεωρίες. Μέχρι να μπορέσουν η Cisco ή άλλοι ερευνητές να εξετάσουν μία προηγουμένως παραβιασμένη συσκευή Cisco IOS XE για να διαπιστωθεί εάν απλώς επανεκκινήθηκε ή αν έγιναν νέες αλλαγές, δεν υπάρχει τρόπος να γνωρίζουμε τι συνέβη.
Δείτε επίσης: Η Cisco διορθώνει εξαιρετικά κρίσιμες ευπάθειες στο software IOS XE
Ποιες είναι οι προβλέψεις για το μέλλον της ασφάλειας των συσκευών Cisco IOS XE;
Στην εποχή της ψηφιακής μετάβασης, οι προβλέψεις για την ασφάλεια των συσκευών Cisco IOS XE είναι δικαιολογημένα αντικείμενο μεγάλου ενδιαφέροντος. Αναμένεται ότι τα επόμενα χρόνια θα καταγραφεί αύξηση της επένδυσης στον τομέα της ασφάλειας, κάτι που σηματοδοτεί επίσης μια διαρκή μετάβαση προς μια ισχυρότερη επικέντρωση στην προστασία και την ασφάλεια των ψηφιακών δικτύων, και ειδικότερα των συσκευών Cisco IOS XE.
Η Cisco, κατανοώντας απόλυτα την κρίσιμη φύση της ασφάλειας στην ψηφιακή εποχή, έχει ήδη αρχίσει να αναπτύσσει νέες στρατηγικές και τεχνολογίες για την ενίσχυση της ασφάλειας των συσκευών της. Η επίκεντρωσή της στοχεύει στην ανάπτυξη περαιτέρω ελαχιστοποίησης των αδυναμιών στο λειτουργικό σύστημα IOS XE, όπως επιβεβαιώνεται από τη συνεχή διεξαγωγή τεχνικών ελέγχων και εκτιμήσεων ασφάλειας, τονίζοντας τη δέσμευσή της για την προσφορά μιας ασφαλέστερης ψηφιακής εμπειρίας.
Ωστόσο, η αύξηση της ασφάλειας των συσκευών Cisco IOS XE δεν είναι μια προκλήση που η Cisco αντιμετωπίζει μόνη της. Οι πελάτες, οι ειδικοί σε θέματα Πληροφορικής και οι συνεργάτες στη βιομηχανία μπορούν και θα πρέπει να παίξουν επίσης ενεργό ρόλο στην ενίσχυση της ασφάλειας. Η συνεργασία, η εκπαίδευση και η συνεχής ενημέρωση είναι βασικά στοιχεία για την επίτευξη αυτού του σημαντικού στόχου.
Πηγή: bleepingcomputer