Ο κώδικας εκμετάλλευσης για την κρίσιμη ευπάθεια του Cisco IOS XE (CVE-2023-20198), η οποία χρησιμοποιήθηκε ως zero-day για να παραβιάσει δεκάδες χιλιάδες συσκευές, έχει πλέον δημοσιευτεί.

Δείτε επίσης: Cisco IOS XE: Οι συσκευές που παραβιάστηκαν μειώθηκαν από 50.000 σε μερικές εκατοντάδες

Η εταιρεία Cisco κυκλοφόρησε ενημερώσεις για τις περισσότερες εκδόσεις του λογισμικού IOS XE, αλλά χιλιάδες συστήματα συνεχίζουν να παραβιάζονται, όπως δείχνουν οι σάρωσεις στο διαδίκτυο.

Οι ερευνητές της Horizon3.ai, μιας εταιρείας που παρέχει υπηρεσίες αξιολόγησης ασφαλείας, δημοσίευσαν λεπτομέρειες σχετικά με το πώς ένας επιτιθέμενος μπορεί να παρακάμψει την πιστοποίηση σε συσκευές Cisco IOS XE που είναι ευάλωτες στο CVE-2023-20198.

Σε μία τεχνική αναφορά σήμερα, οι ερευνητές δείχνουν πώς οι χάκερ μπορούν να εκμεταλλευτούν μια ασφάλεια κρίσιμης σοβαρότητας για να δημιουργήσουν ένα νέο χρήστη με προνόμια επιπέδου 15 που παρέχουν πλήρη έλεγχο της συσκευής.

Η δημιουργία της εκμετάλλευσης ήταν δυνατή με τη χρήση πληροφοριών που καταγράφηκαν από ένα honeypot που είχε στήσει η ομάδα της SECUINFRA.

Η Horizon3.ai εξηγεί ότι ένας επιτιθέμενος μπορεί να κωδικοποιήσει ένα αίτημα HTTP στην υπηρεσία Web Services Management Agent (WMSA) στο iosd – ένα ισχυρό δυαδικό αρχείο στο Cisco IOS XE που μπορεί να δημιουργήσει το αρχείο διαμόρφωσης για το OpenResty (ένας διακομιστής βασισμένος στο Nginx με υποστήριξη σε Lua scripting) που χρησιμοποιείται από την υπηρεσία webui και είναι ευάλωτο στο CVE-2023-20198.

Το WSMA επιτρέπει την εκτέλεση εντολών μέσω αιτημάτων SOAP, συμπεριλαμβανομένων αυτών που παρέχουν πρόσβαση στη δυνατότητα διαμόρφωσης, που επιτρέπει τη δημιουργία ενός χρήστη με πλήρη προνόμια στο σύστημα.

Δείτε ακόμα: Cisco: Περισσότερες από 40.000 συσκευές IOS XE έχουν μολυνθεί με backdoor

Οι ερευνητές δοκίμασαν τον κώδικα εκμετάλλευσής τους και κατάφεραν να δημιουργήσουν ένα νέο χρήστη με διαχειριστικά δικαιώματα (προνόμια επιπέδου 15) που είναι ορατά στο διεπαφή διαχείρισης της συσκευής. Όπως σημειώνουν, από αυτό το σημείο ένας επιτιθέμενος έχει πλήρη έλεγχο της συσκευής και μπορεί να γράψει κακόβουλα implants στον δίσκο χωρίς να χρειάζεται να εκμεταλλευτεί μια άλλη ευπάθεια.

Το LeakIX, μια πλατφόρμα πληροφοριών για exposed online υπηρεσίες, επιβεβαίωσε πως η εκμετάλλευση που παρατηρήθηκε επίσης από τη Secuinfra μπορούσε να αποκτήσει επιτυχή πρόσβαση σε συσκευές Cisco ΙOS XE.

Επιπλέον, τα Cisco IOS XE honeypots της LeakIX ενεργοποιήθηκαν από τους δράστες, επιτρέποντας στους ερευνητές να δουν τις εντολές που εκτελούνται στις συσκευές.

Οι ερευνητές της εταιρείας κυβερνοασφάλειας Fox-IT ανέπτυξαν μια μέθοδο σάρωσης, η οποία αποκάλυψε κοντά στους 38.000 υπολογιστές Cisco ΙOS XE που είχαν παραβιαστεί, στις 23 Οκτωβρίου.

Δείτε επίσης: Cisco: Προειδοποιεί για μια νέα ευπάθεια στο λειτουργικό σύστημα IOS XE

Για να αποτρέψετε την εκμετάλλευση του Cisco IOS XE, μπορείτε να εφαρμόσετε τα εξής προληπτικά μέτρα ασφαλείας:

  1. Ενημερώστε το λγισμικό: Βεβαιωθείτε ότι έχετε εγκαταστήσει τις τελευταίες ενημερώσεις λογισμικού για το Cisco IOS XE. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προλάβουν την εκμετάλλευση ευπαθειών.
  2. Εφαρμόστε αυστηρή πολιτική πρόσβασης: Ορίστε περιορισμούς πρόσβασης στις συσκευές Cisco ΙOS XE ώστε να επιτρέπεται μόνο σε εξουσιοδοτημένους χρήστες να έχουν πρόσβαση σε ευαίσθητες λειτουργίες.
  3. Εφαρμόστε αποτελεσματικές πολιτικές ασφαλείας: Χρησιμοποιήστε αυστηρές πολιτικές ασφαλείας για το Cisco ΙOS XE, όπως περιορισμός πρόσβασης σε ευαίσθητες περιοχές, ενεργοποίηση λογοκλοπής, κρυπτογράφηση δεδομένων και περιορισμός της χρήσης ανεπιθύμητων λειτουργιών.
  4. Επιβλέψτε την κίνηση δικτύου: Χρησιμοποιήστε λύσεις επιτήρησης δικτύου για να επιβλέπετε την κίνηση και να ανιχνεύετε ανεπιθύμητη δραστηριότητα ή απόπειρες εκμετάλλευσης.
  5. Εκπαίδευση των χρηστών: Εκπαιδεύστε τους χρήστες σας για τις βασικές αρχές ασφαλείας, όπως η αποφυγή κλικ σε ύποπτους συνδέσμους ή η αναγνώριση ψεύτικων αιτημάτων πιστοποίησης.

Ακολουθώντας αυτά τα προληπτικά μέτρα ασφαλείας, μπορείτε να ενισχύσετε την ασφάλεια του Cisco IOS XE και να μειώσετε τον κίνδυνο εκμετάλλευσης ευπαθειών.

Πηγή: bleepingcomputer