Qui est le plus rapide ? Un fournisseur corrigeant une vulnérabilité récemment découverte ou un changement de tactique de la communauté des hackers pour exploiter la vulnérabilité ? Ce problème se pose cette semaine alors que Cisco a publié des mises à jour logicielles pour résoudre un problème dans le logiciel IOS XE de l’entreprise.

Les pirates ont rapidement exploité le bug critique du jour zéro récemment découvert pour pirater des milliers de commutateurs et de routeurs Cisco. Dimanche, Cisco a publié mises à jour gratuites du logiciel qui corrigent les vulnérabilités à l’origine de ces problèmes. En plus de la mise à jour logicielle, Cisco recommande fortement aux entreprises de désactiver la fonctionnalité HTTP Server sur tous les systèmes connectés à Internet.

Dans un avis de sécurité lundi, la société a noté : « Cisco est au courant de l’exploitation active d’une vulnérabilité jusqu’alors inconnue dans la fonctionnalité d’interface utilisateur Web du logiciel Cisco IOS XE lorsqu’elle est exposée à Internet ou à des réseaux non fiables. Cette vulnérabilité permet à un attaquant distant non authentifié de créer un compte sur un système concerné avec un accès de niveau de privilège 15″, a ajouté Cisco. « L’attaquant peut alors utiliser ce compte pour prendre le contrôle du système affecté. »

Contexte de la vulnérabilité

La vulnérabilité, CVE-2023-20198a été assigné un score CVSS sur 10 (sur 10). Selon Cisco« les pirates ont exploité CVE-2023-20198 pour obtenir un accès initial et ont émis une commande privilège 15 pour créer une combinaison d’utilisateur local et de mot de passe. » Dans les appareils Cisco, les niveaux de privilège vont de 1 à 15. Un gestionnaire de réseau avec des privilèges de niveau 1 ne peut que accéder à une poignée de fonctions et de commandes mineures. Par exemple, le gestionnaire pourrait émettre une commande « Ping ». En revanche, les privilèges de niveau 15 offrent un accès complet à toutes les commandes.

Ceux qui ont accédé aux systèmes en exploitant la vulnérabilité ont pu se connecter avec un accès utilisateur normal. Beaucoup ont ensuite exploité un autre problème, CVE-2023-20273, une deuxième vulnérabilité Zero Day d’IOS XE, pour passer d’un nouvel utilisateur local sur un appareil et élever les privilèges de cet utilisateur à racine. Une fois dans un système à ce niveau, ils ont installé des logiciels malveillants.

Censys, une société de cybersécurité qui fournit des données d’analyse sur Internet aux efforts de chasse aux menaces et de gestion des expositions des entreprises, a découvert que, à un moment donné la semaine dernière, 41 983 systèmes avait été infecté en raison du premier exploit zero-day.

Déjouer le correctif Cisco

La mise à jour du logiciel IOS XE et la désactivation de la fonctionnalité HTTP Server devraient empêcher d’autres exploits du système. Mais qu’en est-il des systèmes déjà infectés ?

Le groupe Cisco Talos Intelligence a publié un explication détaillée de ce que les acteurs malveillants ont fait en exploitant les vulnérabilités. Il a noté qu’une fois qu’ils ont obtenu un accès au niveau de privilège 15 à l’appareil, créé un utilisateur local, se sont connectés avec un accès utilisateur normal et ont utilisé ce compte d’utilisateur local pour exploiter la deuxième vulnérabilité, ils ont installé du code (appelé implant) pour exécuter des tâches arbitraires. commandes au niveau du système ou au niveau IOS.

Au cours de la semaine dernière, le nombre d’appareils compromis a commencé à diminuer rapidement. Censys et d’autres ont constaté que le nombre d’appareils est tombé à 1 200. Bonne nouvelle, non ? Pas vraiment. Entreprise de sécurité Fox-IT noté que « l’implant placé sur des dizaines de milliers d’appareils Cisco a été modifié ». Les hackers cachent donc leur travail.

Articles Liés: