De achterdeur die op Cisco-apparaten is geïmplanteerd door misbruik te maken van een paar zero-day-fouten in IOS XE-software, is door de bedreigingsactoren aangepast om aan de zichtbaarheid via eerdere vingerafdrukmethoden te ontsnappen.
“Onderzocht netwerkverkeer naar een gecompromitteerd apparaat heeft aangetoond dat de bedreigingsacteur het implantaat heeft geüpgraded om een extra headercontrole uit te voeren”, aldus het Fox-IT-team van NCC Group. “Zo is het implantaat bij veel apparaten nog steeds actief, maar reageert het nu alleen als de juiste Authorization HTTP-header is ingesteld.”
De aanvallen omvatten het omvormen van CVE-2023-20198 (CVSS-score: 10,0) en CVE-2023-20273 (CVSS-score: 7,2) in een exploitketen die de bedreigingsactor de mogelijkheid geeft om toegang te krijgen tot de apparaten, een geprivilegieerd account aan te maken, en uiteindelijk een op Lua gebaseerd implantaat op de apparaten implementeren.
De ontwikkeling komt op het moment dat Cisco beveiligingsupdates begon uit te rollen om de problemen aan te pakken, en er zullen nog meer updates volgen op een nog niet bekendgemaakte datum.
De exacte identiteit van de bedreigingsactoren achter de campagne is momenteel niet bekend, hoewel het aantal getroffen apparaten naar schatting in de duizenden loopt, gebaseerd op gegevens gedeeld door VulnCheck en Censys, een bedrijf voor aanvalsoppervlaktebeheer.
“De infecties lijken op massale hacks”, zegt Mark Ellzey, Senior Security Researcher bij Censys, tegen The Hacker News. “Er kan een tijd komen dat de hackers doorzoeken wat ze hebben en uitzoeken of iets iets waard is.”
Echter, het aantal gecompromitteerde apparaten kelderde de afgelopen dagen gedaald van ongeveer 40.000 naar een paar honderd, wat leidde tot speculaties dat er mogelijk enkele veranderingen onder de motorkap om zijn aanwezigheid te verbergen.
De laatste door Fox-IT ontdekte wijzigingen aan het implantaat verklaren de reden voor de plotselinge en dramatische daling, aangezien is waargenomen dat meer dan 37.000 apparaten zijn beschadigd. nog steeds in gevaar met het implantaat.
Cisco van zijn kant heeft de gedragsverandering in zijn bijgewerkte adviezen bevestigd en een curl-opdracht gedeeld die vanaf een werkstation kan worden gegeven om de aanwezigheid van het implantaat op de apparaten te controleren –
curl -k -H “Autorisatie: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb” -X POST “https://systemip/webui/logoutconfirm.html?logon_hash=1”
“Als het verzoek een hexadecimale reeks retourneert, zoals 0123456789abcdef01, is het implantaat aanwezig”, merkte Cisco op.
“De toevoeging van de headercontrole in het implantaat door de aanvallers is waarschijnlijk een reactieve maatregel om identificatie van gecompromitteerde systemen te voorkomen”, voegde het bedrijf eraan toe. “Deze kopcontrole wordt voornamelijk gebruikt om identificatie van compromissen te dwarsbomen. [and] heeft waarschijnlijk geresulteerd in een recente scherpe daling in de zichtbaarheid van op het publiek gerichte geïnfecteerde systemen.”
