Cisco ha pubblicato un bollettino di sicurezza per confermare la presenza di una vulnerabilità zero-day nell’interfaccia web di IOS XE. Può essere sfruttata per accedere ai dispositivi, ottenere privilegi elevati e prendere il controllo dell’intera rete. Il produttore statunitense ha già rilevato exploit in circolazione, quindi è necessario disattivare la funzionalità HTTP/HTTPS Server con urgenza in attesa del fix.
Vulnerabilità nell’interfaccia di gestione web
I ricercatori di Cisco Talos hanno individuato tracce di attività sospette sul dispositivo di un cliente il 28 settembre. In seguito all’indagine hanno scoperto che la prima intrusione è avvenuta il 18 settembre con la creazione di un nuovo account utente. La seconda intrusione è avvenuta il 12 ottobre. Oltre alla creazione di un nuovo account utente è stato installato un file di configurazione che definisce un web server endpoint usato per eseguire comandi arbitrari.
L’account utente aveva privilegi di livello 15, quindi l’accesso completo con permessi di amministratore. Ciò è stato ottenuto sfruttando la vulnerabilità CVE-2023-20198, alla quale è stato assegnato il massimo punteggio di gravità CVSS, ovvero 10/10. Il bug è presente nella Web UI di IOS XE, quindi ogni dispositivo con HTTP/HTTPS Server attivo e accessibile da Internet è vulnerabile (secondo Shodan sono circa 80.000).
Per installare il file di configurazione è stata sfruttata la vulnerabilità CVE-2021-1435 (risolta da Cisco due anni fa), dopo aver ottenuto l’accesso al dispositivo. I ricercatori hanno scoperto che il file è stato installato anche su dispositivi aggiornati, per cui i cybercriminali hanno usato un altro meccanismo (ignoto al momento).
In attesa della patch, Cisco suggerisce di disattivare la funzionalità HTTP/HTTPS Server su tutti i dispositivi esposti su Internet.
Aggiornamento (21/10/2023): Cisco ha aggiornato il bollettino di sicurezza per comunicare che l’installazione del file di configurazione è avvenuto sfruttando la vulnerabilità CVE-2023-20273, non la CVE-2023-1435, come indicato in precedenza. I fix per entrambe dovrebbero essere rilasciati entro il 22 ottobre.
Aggiornamento (23/10/2023): come promesso, Cisco ha rilasciato le patch per le due vulnerabilità.