Redazione RHC : 2 Novembre 2023 12:55
È diventato pubblico l’exploit PoC per una vulnerabilità critica in Cisco IOS XE (CVE-2023-20198), già utilizzata dagli aggressori per hackerare decine di migliaia di dispositivi su internet. I ricercatori si aspettano che ora ci saranno ancora più attacchi.
Da settembre 2023, i dispositivi Cisco che eseguono IOS XE sono stati oggetto di attacchi massicci a causa delle vulnerabilità 0-day recentemente scoperte CVE-2023-20198 e CVE-2023-20273.
Gli aggressori utilizzano questi bug per penetrare nei dispositivi vulnerabili e creare account privilegiati (con il livello di privilegio più alto di 15), e ottenere i diritti di root per installare una backdoor scritta in Lua nel sistema, che consente di eseguire comandi da remoto.
 Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Entrambe le vulnerabilità possono essere sfruttate solo se sul dispositivo è abilitata la funzione di interfaccia web (server HTTP), che può essere eseguita tramite ip http server o ip http secure-server, e il dispositivo è connesso a Internet o a una rete non attendibile.
Alla fine di ottobre il numero di dispositivi compromessi su cui è stato rilevato un impianto Lua ha superato i 50.000, per poi diminuire drasticamente. I ricercatori hanno trovato solo 100-1000 dispositivi compromessi, a seconda dei risultati delle diverse scansioni.
Si scopre che gli aggressori dietro questi attacchi si sono resi conto del loro errore (il loro impianto veniva rilevato troppo facilmente da remoto) e il codice dannoso su decine di migliaia di dispositivi compromessi è stato modificato per verificare il valore dell’intestazione di autorizzazione HTTP prima di rispondere.
Gli analisti di Fox-IT hanno riferito che alla fine di ottobre 2023 erano stati infettati circa 38.000 host Cisco IOS XE.
I ricercatori di Horizon3.ai hanno condiviso dettagli su come un utente malintenzionato può bypassare l’autenticazione sui dispositivi Cisco IOS XE vulnerabili al CVE-2023-20198. Il rapporto tecnico dell’azienda mostra che gli hacker possono sfruttare la vulnerabilità per creare un nuovo utente con il livello di privilegi più alto di 15, che fornisce il controllo completo sul dispositivo.
L’exploit è stato sviluppato grazie alle informazioni ottenute utilizzando un honeypot dalla cyber forensics del team SECUINFRA.
Horizon3.ai spiega che un utente malintenzionato può codificare una richiesta HTTP al servizio Web Services Management Agent (WMSA) in iosd, attraverso un file binario IOS XE che può generare un file di configurazione per OpenResty (un server basato su Nginx con supporto per script Lua) utilizzato dal servizio webui, vulnerabile a CVE-2023-20198.
“L’essenza della vulnerabilità risiede nella prima riga della richiesta
POST /%2577ebui_wsma_HTTP. La complicata codificawebui_wsma_httpaggira le negoziazioni Nginx e consente di accedere al servizio WMSAiosd“, scrivono gli esperti.
WSMA consente di eseguire comandi tramite richieste SOAP, compresi quelli che danno accesso a una funzione di configurazione che consente di creare utenti altamente privilegiati sul sistema. Testando il loro exploit, i ricercatori sono riusciti a creare un nuovo utente con privilegi di livello 15, visibili nell’interfaccia di gestione del dispositivo. Successivamente, l’aggressore acquisisce il pieno controllo del dispositivo e può introdurre impianti dannosi senza ricorrere all’uso di altri bug.
LeakIX, specializzato nella raccolta di informazioni su servizi online non protetti, conferma che l’exploit osservato in SECUINFRA può essere utilizzato per compromettere con successo i dispositivi vulnerabili Cisco IOS XE. Inoltre, gli honeypot LeakIX per Cisco IOS XE sono stati presi di mira dagli aggressori, consentendo ai ricercatori di vedere i comandi eseguiti sui dispositivi.
Pertanto, nel file PCAP della sessione, è chiaro che gli hacker hanno eseguito i seguenti comandi per la ricognizione e la raccolta di informazioni al fine di scoprire obiettivi importanti.
Vale la pena notare che all’inizio di questa settimana, gli sviluppatori Cisco hanno aggiornato il loro bollettino sulla sicurezza sul CVE-2023-20198, riportando aggiornamenti per IOS XE relativi a questa vulnerabilità. Attualmente, secondo quanto riferito, solo la versione 17.3 è ancora vulnerabile a questo bug e la società ha risolto il problema in Software Maintenance Updates (SMU).
RedazionePer la seconda volta negli ultimi mesi, Google è stata costretta a smentire le notizie di una massiccia violazione dei dati di Gmail. La notizia è stata scatenata dalle segnalazioni di un “hacking...
Il panorama della sicurezza informatica è stato recentemente scosso dalla scoperta di una vulnerabilità critica di tipo Remote Code Execution (RCE) nel servizio Windows Server Update Services (WSUS)...
Gli sviluppatori del gestore di password LastPass hanno avvisato gli utenti di una campagna di phishing su larga scala iniziata a metà ottobre 2025. Gli aggressori stanno inviando e-mail contenenti f...
I ricercatori di NeuralTrust hanno scoperto una vulnerabilità nel browser di ChatGPT Atlas di OpenAI. Questa volta, il vettore di attacco è collegato alla omnibox, la barra in cui gli utenti inseris...
Wordfence lancia l’allarme su una campagna malware su larga scala in cui gli aggressori stanno sfruttando vulnerabilità critiche nei popolari plugin di WordPress GutenKit e Hunk Companion. L’azie...
