Af Eskil Sørensen, 24/10/23
Cisco har rettet de to sårbarheder, som hackere har udnyttet til at kompromittere titusindvis af IOS XE-enheder i løbet af den seneste uge. Det skriver Bleeping Computer, The Register og en række andre medier på baggrund af en opdatering fra Cisco.
Eller rettere: Kun opdatering til version 17.9. er tilgængelig fra virksomhedens Software Download Center, mens opdateringer til version 17.6, 17.3 og 16.12 (kun Catalyst 3650 og 3850) stadig afventer.
Kombinationsudnyttelse
Opdateringen kommer efter en for mange lang uge, at Cisco den 16. oktober erkendte sårbarhedernes eksistens, og at patches endnu ikke var tilgængelige. Derfor blev der anvist en alternativ løsning til håndtering af de to sårbarheder (CVE-2023-20198 og CVE-2023-20273).
I løbet af ugen blev det kendt, at trusselsaktører havde udnyttet den mest kritiske fejl (CVE-2023-20198, CVSS-score på 10,0) til at få indledende adgang til enheder og derefter oprette lokalkonti. Disse var så blevet ophøjet til root-rettigheder ved udnyttelse af CVE-2023-20273 (CVSS-score på 7,2), hvorved der blev opnået fuld kontrol. Allerede i sidste uge var der rapporter om, at over 50.000 enheder var kompromitteret med det, der er blevet benævnt ondsindet implantat.
Imidlertid viste der sig i weekenden et pludseligt fald til et par hundrede kompromitterede enheder, hvis årsag stadig er uklart for researchere. En teori er ifølge The Record, at angriberne også har været på arbejde og udviklet en opdatering af implantatet. Dette skulle angiveligt gøre, at de ikke længere er synlige i scanninger. En anden årsag kan ifølge Bleeping Computer være, at inficerede enheder er genstartet mhp. at fjerne implantaterne. Endelig oplyser cybersikkerhedsfirmaet Fox-IT, at den ondsindede kode ’..er blevet ændret for at tjekke for en Authorization HTTP header-værdi, før den svarer’. En ny scanningsmetode viser, at 37.890 stadig er kompromitteret.
Det vil sige, at det sikreste at gøre fortsat er at følge vejledningen fra Cisco: Opdatering til nyeste version eller deaktivering af HTTPS Server-funktionen på internetvendte IOS XE-enheder, eller styring af adgangen til HTTPS-serverfunktionen ved hjælp af adgangslister (ACL). Endelig kan man som systemadministrator selv teste, om der er et aktivt implantat på systemet og i givet fald fjerne det.
Links:
https://www.theregister.com/2023/10/23/cisco_iosxe_fix/
https://www.bleepingcomputer.com/news/security/cisco-patches-ios-xe-zero...
https://software.cisco.com/download/home
https://cert.dk/da/news/2023-10-18/Tusindvis-af-Cisco-IOS-XE-systemer-kompromitteret