Redazione RHC : 2 Novembre 2023 12:55
È diventato pubblico l’exploit PoC per una vulnerabilità critica in Cisco IOS XE (CVE-2023-20198), già utilizzata dagli aggressori per hackerare decine di migliaia di dispositivi su internet. I ricercatori si aspettano che ora ci saranno ancora più attacchi.
Da settembre 2023, i dispositivi Cisco che eseguono IOS XE sono stati oggetto di attacchi massicci a causa delle vulnerabilità 0-day recentemente scoperte CVE-2023-20198 e CVE-2023-20273.
Gli aggressori utilizzano questi bug per penetrare nei dispositivi vulnerabili e creare account privilegiati (con il livello di privilegio più alto di 15), e ottenere i diritti di root per installare una backdoor scritta in Lua nel sistema, che consente di eseguire comandi da remoto.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Entrambe le vulnerabilità possono essere sfruttate solo se sul dispositivo è abilitata la funzione di interfaccia web (server HTTP), che può essere eseguita tramite ip http server o ip http secure-server, e il dispositivo è connesso a Internet o a una rete non attendibile.
Alla fine di ottobre il numero di dispositivi compromessi su cui è stato rilevato un impianto Lua ha superato i 50.000, per poi diminuire drasticamente. I ricercatori hanno trovato solo 100-1000 dispositivi compromessi, a seconda dei risultati delle diverse scansioni.
Si scopre che gli aggressori dietro questi attacchi si sono resi conto del loro errore (il loro impianto veniva rilevato troppo facilmente da remoto) e il codice dannoso su decine di migliaia di dispositivi compromessi è stato modificato per verificare il valore dell’intestazione di autorizzazione HTTP prima di rispondere.
Gli analisti di Fox-IT hanno riferito che alla fine di ottobre 2023 erano stati infettati circa 38.000 host Cisco IOS XE.
I ricercatori di Horizon3.ai hanno condiviso dettagli su come un utente malintenzionato può bypassare l’autenticazione sui dispositivi Cisco IOS XE vulnerabili al CVE-2023-20198. Il rapporto tecnico dell’azienda mostra che gli hacker possono sfruttare la vulnerabilità per creare un nuovo utente con il livello di privilegi più alto di 15, che fornisce il controllo completo sul dispositivo.
L’exploit è stato sviluppato grazie alle informazioni ottenute utilizzando un honeypot dalla cyber forensics del team SECUINFRA.
Horizon3.ai spiega che un utente malintenzionato può codificare una richiesta HTTP al servizio Web Services Management Agent (WMSA) in iosd, attraverso un file binario IOS XE che può generare un file di configurazione per OpenResty (un server basato su Nginx con supporto per script Lua) utilizzato dal servizio webui, vulnerabile a CVE-2023-20198.
“L’essenza della vulnerabilità risiede nella prima riga della richiesta
POST /%2577ebui_wsma_HTTP. La complicata codificawebui_wsma_httpaggira le negoziazioni Nginx e consente di accedere al servizio WMSAiosd“, scrivono gli esperti.
WSMA consente di eseguire comandi tramite richieste SOAP, compresi quelli che danno accesso a una funzione di configurazione che consente di creare utenti altamente privilegiati sul sistema. Testando il loro exploit, i ricercatori sono riusciti a creare un nuovo utente con privilegi di livello 15, visibili nell’interfaccia di gestione del dispositivo. Successivamente, l’aggressore acquisisce il pieno controllo del dispositivo e può introdurre impianti dannosi senza ricorrere all’uso di altri bug.
LeakIX, specializzato nella raccolta di informazioni su servizi online non protetti, conferma che l’exploit osservato in SECUINFRA può essere utilizzato per compromettere con successo i dispositivi vulnerabili Cisco IOS XE. Inoltre, gli honeypot LeakIX per Cisco IOS XE sono stati presi di mira dagli aggressori, consentendo ai ricercatori di vedere i comandi eseguiti sui dispositivi.
Pertanto, nel file PCAP della sessione, è chiaro che gli hacker hanno eseguito i seguenti comandi per la ricognizione e la raccolta di informazioni al fine di scoprire obiettivi importanti.
Vale la pena notare che all’inizio di questa settimana, gli sviluppatori Cisco hanno aggiornato il loro bollettino sulla sicurezza sul CVE-2023-20198, riportando aggiornamenti per IOS XE relativi a questa vulnerabilità. Attualmente, secondo quanto riferito, solo la versione 17.3 è ancora vulnerabile a questo bug e la società ha risolto il problema in Software Maintenance Updates (SMU).
RedazioneSette italiani su dieci hanno il proprio numero di telefono incluso in questa banca dati. Ma cosa significa attualmente disporre di un tale quantitativo di numeri telefonici concentrati all’interno ...
I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...
Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...
Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...
Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...
