Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 2 Novembre 2023 12:55
È diventato pubblico l’exploit PoC per una vulnerabilità critica in Cisco IOS XE (CVE-2023-20198), già utilizzata dagli aggressori per hackerare decine di migliaia di dispositivi su internet. I ricercatori si aspettano che ora ci saranno ancora più attacchi.
Da settembre 2023, i dispositivi Cisco che eseguono IOS XE sono stati oggetto di attacchi massicci a causa delle vulnerabilità 0-day recentemente scoperte CVE-2023-20198 e CVE-2023-20273.
Gli aggressori utilizzano questi bug per penetrare nei dispositivi vulnerabili e creare account privilegiati (con il livello di privilegio più alto di 15), e ottenere i diritti di root per installare una backdoor scritta in Lua nel sistema, che consente di eseguire comandi da remoto.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Entrambe le vulnerabilità possono essere sfruttate solo se sul dispositivo è abilitata la funzione di interfaccia web (server HTTP), che può essere eseguita tramite ip http server o ip http secure-server, e il dispositivo è connesso a Internet o a una rete non attendibile.
Alla fine di ottobre il numero di dispositivi compromessi su cui è stato rilevato un impianto Lua ha superato i 50.000, per poi diminuire drasticamente. I ricercatori hanno trovato solo 100-1000 dispositivi compromessi, a seconda dei risultati delle diverse scansioni.
Si scopre che gli aggressori dietro questi attacchi si sono resi conto del loro errore (il loro impianto veniva rilevato troppo facilmente da remoto) e il codice dannoso su decine di migliaia di dispositivi compromessi è stato modificato per verificare il valore dell’intestazione di autorizzazione HTTP prima di rispondere.
Gli analisti di Fox-IT hanno riferito che alla fine di ottobre 2023 erano stati infettati circa 38.000 host Cisco IOS XE.
I ricercatori di Horizon3.ai hanno condiviso dettagli su come un utente malintenzionato può bypassare l’autenticazione sui dispositivi Cisco IOS XE vulnerabili al CVE-2023-20198. Il rapporto tecnico dell’azienda mostra che gli hacker possono sfruttare la vulnerabilità per creare un nuovo utente con il livello di privilegi più alto di 15, che fornisce il controllo completo sul dispositivo.
L’exploit è stato sviluppato grazie alle informazioni ottenute utilizzando un honeypot dalla cyber forensics del team SECUINFRA.
Horizon3.ai spiega che un utente malintenzionato può codificare una richiesta HTTP al servizio Web Services Management Agent (WMSA) in iosd, attraverso un file binario IOS XE che può generare un file di configurazione per OpenResty (un server basato su Nginx con supporto per script Lua) utilizzato dal servizio webui, vulnerabile a CVE-2023-20198.
“L’essenza della vulnerabilità risiede nella prima riga della richiesta
POST /%2577ebui_wsma_HTTP. La complicata codificawebui_wsma_httpaggira le negoziazioni Nginx e consente di accedere al servizio WMSAiosd“, scrivono gli esperti.
WSMA consente di eseguire comandi tramite richieste SOAP, compresi quelli che danno accesso a una funzione di configurazione che consente di creare utenti altamente privilegiati sul sistema. Testando il loro exploit, i ricercatori sono riusciti a creare un nuovo utente con privilegi di livello 15, visibili nell’interfaccia di gestione del dispositivo. Successivamente, l’aggressore acquisisce il pieno controllo del dispositivo e può introdurre impianti dannosi senza ricorrere all’uso di altri bug.
LeakIX, specializzato nella raccolta di informazioni su servizi online non protetti, conferma che l’exploit osservato in SECUINFRA può essere utilizzato per compromettere con successo i dispositivi vulnerabili Cisco IOS XE. Inoltre, gli honeypot LeakIX per Cisco IOS XE sono stati presi di mira dagli aggressori, consentendo ai ricercatori di vedere i comandi eseguiti sui dispositivi.
Pertanto, nel file PCAP della sessione, è chiaro che gli hacker hanno eseguito i seguenti comandi per la ricognizione e la raccolta di informazioni al fine di scoprire obiettivi importanti.
Vale la pena notare che all’inizio di questa settimana, gli sviluppatori Cisco hanno aggiornato il loro bollettino sulla sicurezza sul CVE-2023-20198, riportando aggiornamenti per IOS XE relativi a questa vulnerabilità. Attualmente, secondo quanto riferito, solo la versione 17.3 è ancora vulnerabile a questo bug e la società ha risolto il problema in Software Maintenance Updates (SMU).
RedazioneMicrosoft ha confermato che il protocollo RDP (Remote Desktop Protocol) consente l’accesso ai sistemi Windows anche utilizzando password già modificate o revocate. L’azienda ha chia...
Una nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...
Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
