Cisco heeft gewaarschuwd voor een nieuwe zero-day-fout in IOS XE die actief is uitgebuit door een onbekende bedreigingsacteur om een kwaadaardig, op Lua gebaseerd implantaat op gevoelige apparaten te implementeren.
Bijgehouden als CVE-2023-20273 (CVSS-score: 7,2), heeft het probleem te maken met een privilege-escalatiefout in de web-UI-functie en zou naast CVE-2023-20198 (CVSS-score: 10,0) zijn gebruikt als onderdeel van een exploitketen.
“De aanvaller maakte eerst misbruik van CVE-2023-20198 om initiële toegang te krijgen en gaf een privilege 15-opdracht uit om een lokale combinatie van gebruiker en wachtwoord te maken”, aldus Cisco in een bijgewerkt advies dat vrijdag werd gepubliceerd. “Hierdoor kon de gebruiker inloggen met normale gebruikerstoegang.”
“De aanvaller misbruikte vervolgens een ander onderdeel van de web-UI-functie, waarbij hij de nieuwe lokale gebruiker gebruikte om het privilege om te rooten en het implantaat naar het bestandssysteem te schrijven te verhogen”, een tekortkoming waaraan de identificatie CVE-2023-20273 is toegewezen.
Een woordvoerder van Cisco vertelde The Hacker News dat er een oplossing is geïdentificeerd die beide kwetsbaarheden dekt en vanaf 22 oktober 2023 beschikbaar zal zijn voor klanten. In de tussentijd wordt aanbevolen om de HTTP-serverfunctie uit te schakelen.
Hoewel Cisco eerder had vermeld dat een inmiddels gepatchte beveiligingsfout in dezelfde software (CVE-2021-1435) was misbruikt om de achterdeur te installeren, oordeelde het bedrijf dat de kwetsbaarheid niet langer verband hield met de activiteit in het licht van de ontdekking van de nieuwe nuldag.
“Een niet-geauthenticeerde externe actor zou deze kwetsbaarheden kunnen misbruiken om de controle over een getroffen systeem over te nemen”, aldus de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). “Deze kwetsbaarheden stellen de acteur in het bijzonder in staat een geprivilegieerd account aan te maken dat volledige controle over het apparaat biedt.”
Succesvol misbruik van de bugs zou aanvallers in staat kunnen stellen onbelemmerde toegang op afstand te verkrijgen tot routers en switches, netwerkverkeer te monitoren, netwerkverkeer te injecteren en om te leiden, en het te gebruiken als een blijvend bruggenhoofd naar het netwerk vanwege het gebrek aan beveiligingsoplossingen voor deze apparaten.
De ontwikkeling komt omdat naar schatting meer dan 41.000 Cisco-apparaten waarop de kwetsbare IOS XE-software draait, zijn gecompromitteerd door bedreigingsactoren die de twee beveiligingsfouten gebruiken, volgens gegevens van Censys en LekIX.
“Op 19 oktober is het aantal gecompromitteerde Cisco-apparaten gedaald tot 36.541”, aldus het bedrijf voor aanvalsoppervlaktebeheer. “De primaire doelwitten van dit beveiligingslek zijn niet grote bedrijven, maar kleinere entiteiten en individuen.”
Update:
Cisco heeft officieel software-updates uitgebracht om de twee actief misbruikte beveiligingsfouten voor Cisco IOS XE-softwarereleasetrein 17.9 aan te pakken, met oplossingen voor versies 17.6, 17.3 en 16.12 in de maak. Aanvullende release-informatie is hier te vinden.
