L’Exploit per il bug critico su Cisco IOS XE è online. Prevista una nuova ondata di compromissioni

Redazione RHC : 2 Novembre 2023 12:55

È diventato pubblico l’exploit PoC per una vulnerabilità critica in Cisco IOS XE (CVE-2023-20198), già utilizzata dagli aggressori per hackerare decine di migliaia di dispositivi su internet. I ricercatori si aspettano che ora ci saranno ancora più attacchi.

Da settembre 2023, i dispositivi Cisco che eseguono IOS XE sono stati oggetto di attacchi massicci a causa delle vulnerabilità 0-day recentemente scoperte CVE-2023-20198 e CVE-2023-20273.

Gli aggressori utilizzano questi bug per penetrare nei dispositivi vulnerabili e creare account privilegiati (con il  livello di privilegio più alto di 15), e ottenere i diritti di root per installare una backdoor scritta in Lua nel sistema, che consente di eseguire comandi da remoto.

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Entrambe le vulnerabilità possono essere sfruttate solo se sul dispositivo è abilitata la funzione di interfaccia web (server HTTP), che può essere eseguita tramite ip http server o ip http secure-server, e il dispositivo è connesso a Internet o a una rete non attendibile.

Alla fine di ottobre il numero di dispositivi compromessi su cui è stato rilevato un impianto Lua ha superato i 50.000, per poi  diminuire drasticamente. I ricercatori hanno trovato solo 100-1000 dispositivi compromessi, a seconda dei risultati delle diverse scansioni.

Si scopre che gli aggressori dietro questi attacchi si sono resi conto del loro errore (il loro impianto veniva rilevato troppo facilmente da remoto) e il codice dannoso su decine di migliaia di dispositivi compromessi è stato modificato per verificare il valore dell’intestazione di autorizzazione HTTP prima di rispondere.

Gli analisti di Fox-IT hanno riferito che alla fine di ottobre 2023 erano stati infettati circa 38.000 host Cisco IOS XE.

I ricercatori di Horizon3.ai CVE-2023-20198-deep-dive-and-poc/">hanno condiviso dettagli su come un utente malintenzionato può bypassare l’autenticazione sui dispositivi Cisco IOS XE vulnerabili al CVE-2023-20198. Il rapporto tecnico dell’azienda mostra che gli hacker possono sfruttare la vulnerabilità per creare un nuovo utente con il  livello di privilegi più alto di 15, che fornisce il controllo completo sul dispositivo.

CVE-2023-20198.jpg">CVE-2023-20198.jpg" alt="" class="wp-image-440673">

L’exploit è stato sviluppato grazie alle informazioni ottenute utilizzando un honeypot dalla cyber forensics del team SECUINFRA.

Horizon3.ai spiega che un utente malintenzionato può codificare una richiesta HTTP al servizio Web Services Management Agent (WMSA) in iosd, attraverso un file binario IOS XE che può generare un file di configurazione per OpenResty (un server basato su Nginx con supporto per script Lua) utilizzato dal servizio webui, vulnerabile a CVE-2023-20198.

“L’essenza della vulnerabilità risiede nella prima riga della richiesta POST /%2577ebui_wsma_HTTP. La complicata codifica webui_wsma_http aggira le negoziazioni Nginx e consente di accedere al servizio WMSA iosd“, scrivono gli esperti.

WSMA consente di eseguire comandi tramite richieste SOAP, compresi quelli che danno accesso a una funzione di configurazione che consente di creare utenti altamente privilegiati sul sistema. Testando il loro exploit, i ricercatori sono riusciti a creare un nuovo utente con privilegi di livello 15, visibili nell’interfaccia di gestione del dispositivo. Successivamente, l’aggressore acquisisce il pieno controllo del dispositivo e può introdurre impianti dannosi senza ricorrere all’uso di altri bug.

LeakIX, specializzato nella raccolta di informazioni su servizi online non protetti, conferma che l’exploit osservato in SECUINFRA può essere utilizzato per compromettere con successo i dispositivi vulnerabili Cisco IOS XE. Inoltre, gli honeypot LeakIX per Cisco IOS XE sono stati presi di mira dagli aggressori, consentendo ai ricercatori di vedere i comandi eseguiti sui dispositivi.

Pertanto, nel file PCAP della sessione, è chiaro che gli hacker hanno eseguito i seguenti comandi per la ricognizione e la raccolta di informazioni al fine di scoprire obiettivi importanti.

Vale la pena notare che all’inizio di questa settimana, gli sviluppatori Cisco hanno aggiornato il loro bollettino sulla sicurezza sul CVE-2023-20198, riportando aggiornamenti per IOS XE relativi a questa vulnerabilità. Attualmente, secondo quanto riferito, solo la versione 17.3 è ancora vulnerabile a questo bug e la società ha risolto il problema in Software Maintenance Updates (SMU).

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli