Вторпат во релативно краток период Cisco е во фокусот на вестите за сајбер безбедност. Безбедносниот тим на Cisco – Talos објави дека е забележана активна злоупотреба на „0-day“ пропуст. Потенцијалниот напад е забележан на 12 октомври, а безбедносните експерти подоцна заклучиле дека станува збор за непознат пропуст.
Пропустот CVE-2023-20198 го зафаќа веб корисничкиот интерфејс за Cisco IOS XE софтверот, и е означен со највисока оценка за опасност (10 или критична). Со пропустот се зафатени сите свичови, рутери и безжични LAN контролери со IOS XE и активирана HTTP или HTTPS сервер функционалност и пристап до интернет.
Злоупотреба на пропустот им овозможува на потенцијалните напаѓачи да креираат профил на уредот со привилегија од 15-то ниво. Ова практично значи дека напаѓачот ќе има целосна контрола врз системот.
Пропустот веќе на големо активно се злоупотребува
Загрижувачка е констатацијата на безбедносните експерти на Cisco кои откриле дека пропустот се злоупотребува со недели. Првиот забележан случај на злоупотреба е од 18 септември. Засега напаѓачите се непознати, но има показатели дека се инфилтрирале во мрежи, креирале сопствени профили и инсталирале малициозен софтвер.
Во еден од нападите, по добивањето на пристап до ранливиот уред напаѓачите искористиле поранешен пропуст да го инсталираат имплантот. Сепак, во другите случаи имплантот е инсталиран со засега непознат механизам.
Малициозниот код се чува во „/usr/binos/conf/nginx-conf/cisco_service.conf“. Фајлот дефинира нова патека за комуникација со веб серверот (URI патека). Содржи два променливи стринга од хексадецимални карактери. За да се активира малициозниот код веб-серверот мора да биде рестартиран.
Фајлот не останува по рестартирањето на уредот. Иако фајлот не може да го „преживее“ рестартирањето, креираните супер кориснички профили остануваат. Ова го остава системот подложен на понатамошни напади.
Малициозниот софтвер е напишан во LUA и е составен од 29 линии код, кој потоа овозможуваат извршување на произволни (arbitrary) команди. Напаѓачот го активира малициозниот код преку HTTP POST повик до уредот. Повикот испорачува 3 функции.
Првата функција зависи од „menu“ параметарот кој мора да постои и да не биде празен. Ова враќа назад сет бројки во коси црти (forwards slash), за кои се сомневаме дека ја преставуваат верзијата на имплантот или датумот на инсталација.
Втората функција зависи од параметарот „logon_hash“, кој мора да има вредност „1“. Ова враќа хексадецимална низа од 18 знаци што е хардкодирана во малициозниот код.
Третата функција исто така зависи од параметарот „logon_hash“, проверува дали параметарот се совпаѓа со хексадецимална низа од 40 знаци што е хардкодирана во имплантот. Вториот параметар што се користи е „common_type“, и тој не може да биде празен, неговата вредност одредува дали кодот се извршува на системско или на ниво на IOS. Ако кодот се извршува на системско ниво, овој параметар мора да има вредност „subsistem“, а ако се извршува на ниво на IOS, параметарот мора да биде „iox“. Командите IOX се извршуваат на ниво на привилегија 15.
Бројката зафатени уреди веројатно ќе порасне како што ќе бидат скенирани повеќе. Досега VulnCheck скенирал половина од Cisco опремата која e објавенa од Shodan/Censys. Пребарувањето на Shodan откри 143 322 Cisco уреди со активен Web UI.
„Cisco сокри важна информација во воведот на објавата кога не ни откри дека илјадници IOS XS уреди на интернет се имплантирани. VulnCheck скенираше Cisco IOS XE веб-интерфејси и откри илјадници со имплантиран хост. Ситуацијата е лоша, привилегиран пристап на IOS XE веројатно ќе им овозможи на напаѓачите да го следат сообраќајот во мрежата, да се префрлат кон заштитените мрежи и да извршат man-in-the-middle напади“, вели Џејкоб Бејнс од VulnCheck.
Како да се заштитите
Компаниите кои користат IOS XE системи мора да проверат дали се компромитирани. Ако се откриени импланти безбедносните тимови треба да преземат неопходни мерки.
Засега Cisco нема издадена безбедносна закрпа за пропустот. Сепак корисниците можат да го исклучат веб-интерфејсот и веднаш да ги отстранат сите интерфејси за управување од интернет.
Тимот на Talos ги советува сите администратори на компаниите сериозно да ја прегледаат својата мрежа за знаци на пробивање. Сигурен показател дека мрежата е компромитирана се непознати или креирани нови корисници на уредите без објаснување. Дополнително, администраторите можат да ја извршат следната команда, каде DEVICEIP треба да го заменат со IP-адресата на уредот кој го проверуваат.
curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"
Ако командата врати хексадецимален стринг налик на оној кој го враќа третата функција, имплантот е присутен. Ова ќе биде случај исклучиво ако веб-серверот веќе е рестартиран.
Како мерка на претпазливост Cisco ги повика сите да ја оневозможат HTTP/S сервер функционалноста на системите кои се изложени на интернет. Ова е препорака која е дел од воспоставените добри практики за намалување на ризиците кои се однесуваат на интерфејси кои се изложени на интернет пристап.
Стани премиум член и доби пристап до сите
содржини, специјален попуст на над 2.200 производи во ИТ маркет,
верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го
поддржиш медиумот кој го градиме цели 16 години!
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duration
Description
itmkhascookiez-checkbox-analytics
11 months
Ова колаче е поставено од плагинот за контрола на прифаќање/одбивање на политиката за приватност. Колачето се користи за да се зачува изборот на корисникот за колачиња во категорија "Аналитика".
itmkhazcookies-checkbox-others
11 months
Ова колаче е поставено од плагинот за контрола на прифаќање/одбивање на политиката за приватност. Колачето се користи за да се зачува изборот на корисникот за колачиња во категорија "Други".
itmkhazcookiez-checkbox-functional
11 months
Ова колаче е поставено од плагинот за контрола на прифаќање/одбивање на политиката за приватност. Колачето се користи за да се зачува изборот на корисникот за колачиња во категорија "Функционални".
itmkhazcookiez-checkbox-necessary
11 months
Ова колаче е поставено од плагинот за контрола на прифаќање/одбивање на политиката за приватност. Колачето се користи за да се зачува изборот на корисникот за колачиња во категорија "Потребни".
itmkhazcookiez-checkbox-performance
11 months
Ова колаче е поставено од плагинот за контрола на прифаќање/одбивање на политиката за приватност. Колачето се користи за да се зачува изборот на корисникот за колачиња во категорија "Перформанси".
viewed_itmk_cookiez_policy
11 months
Ова колаче е поставено од плагинот за контрола на прифаќање/одбивање на политиката за приватност и не чува лични податоци.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
