L’Exploit per il bug critico su Cisco IOS XE è online. Prevista una nuova ondata di compromissioni

Redazione RHC : 2 Novembre 2023 12:55

È diventato pubblico l’exploit PoC per una vulnerabilità critica in Cisco IOS XE (CVE-2023-20198), già utilizzata dagli aggressori per hackerare decine di migliaia di dispositivi su internet. I ricercatori si aspettano che ora ci saranno ancora più attacchi.

Da settembre 2023, i dispositivi Cisco che eseguono IOS XE sono stati oggetto di attacchi massicci a causa delle vulnerabilità 0-day recentemente scoperte CVE-2023-20198 e CVE-2023-20273.

Gli aggressori utilizzano questi bug per penetrare nei dispositivi vulnerabili e creare account privilegiati (con il  livello di privilegio più alto di 15), e ottenere i diritti di root per installare una backdoor scritta in Lua nel sistema, che consente di eseguire comandi da remoto.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Entrambe le vulnerabilità possono essere sfruttate solo se sul dispositivo è abilitata la funzione di interfaccia web (server HTTP), che può essere eseguita tramite ip http server o ip http secure-server, e il dispositivo è connesso a Internet o a una rete non attendibile.

Alla fine di ottobre il numero di dispositivi compromessi su cui è stato rilevato un impianto Lua ha superato i 50.000, per poi  diminuire drasticamente. I ricercatori hanno trovato solo 100-1000 dispositivi compromessi, a seconda dei risultati delle diverse scansioni.

Si scopre che gli aggressori dietro questi attacchi si sono resi conto del loro errore (il loro impianto veniva rilevato troppo facilmente da remoto) e il codice dannoso su decine di migliaia di dispositivi compromessi è stato modificato per verificare il valore dell’intestazione di autorizzazione HTTP prima di rispondere.

Gli analisti di Fox-IT hanno riferito che alla fine di ottobre 2023 erano stati infettati circa 38.000 host Cisco IOS XE.

I ricercatori di Horizon3.ai hanno condiviso dettagli su come un utente malintenzionato può bypassare l’autenticazione sui dispositivi Cisco IOS XE vulnerabili al CVE-2023-20198. Il rapporto tecnico dell’azienda mostra che gli hacker possono sfruttare la vulnerabilità per creare un nuovo utente con il  livello di privilegi più alto di 15, che fornisce il controllo completo sul dispositivo.

L’exploit è stato sviluppato grazie alle informazioni ottenute utilizzando un honeypot dalla cyber forensics del team SECUINFRA.

Horizon3.ai spiega che un utente malintenzionato può codificare una richiesta HTTP al servizio Web Services Management Agent (WMSA) in iosd, attraverso un file binario IOS XE che può generare un file di configurazione per OpenResty (un server basato su Nginx con supporto per script Lua) utilizzato dal servizio webui, vulnerabile a CVE-2023-20198.

“L’essenza della vulnerabilità risiede nella prima riga della richiesta POST /%2577ebui_wsma_HTTP. La complicata codifica webui_wsma_http aggira le negoziazioni Nginx e consente di accedere al servizio WMSA iosd“, scrivono gli esperti.

WSMA consente di eseguire comandi tramite richieste SOAP, compresi quelli che danno accesso a una funzione di configurazione che consente di creare utenti altamente privilegiati sul sistema. Testando il loro exploit, i ricercatori sono riusciti a creare un nuovo utente con privilegi di livello 15, visibili nell’interfaccia di gestione del dispositivo. Successivamente, l’aggressore acquisisce il pieno controllo del dispositivo e può introdurre impianti dannosi senza ricorrere all’uso di altri bug.

LeakIX, specializzato nella raccolta di informazioni su servizi online non protetti, conferma che l’exploit osservato in SECUINFRA può essere utilizzato per compromettere con successo i dispositivi vulnerabili Cisco IOS XE. Inoltre, gli honeypot LeakIX per Cisco IOS XE sono stati presi di mira dagli aggressori, consentendo ai ricercatori di vedere i comandi eseguiti sui dispositivi.

Pertanto, nel file PCAP della sessione, è chiaro che gli hacker hanno eseguito i seguenti comandi per la ricognizione e la raccolta di informazioni al fine di scoprire obiettivi importanti.

Vale la pena notare che all’inizio di questa settimana, gli sviluppatori Cisco hanno aggiornato il loro bollettino sulla sicurezza sul CVE-2023-20198, riportando aggiornamenti per IOS XE relativi a questa vulnerabilità. Attualmente, secondo quanto riferito, solo la versione 17.3 è ancora vulnerabile a questo bug e la società ha risolto il problema in Software Maintenance Updates (SMU).

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli