Новости Более 40 000 устройств Cisco IOS XE заражены через уязвимость "нулевого дня"

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Если вы владелец, лучше проверьте свои устройства.


gvwrdiojdz0yilonhc1dw7kga3ujccdm.jpg


Более 40 000 устройств Cisco , работающих на операционной системе IOS XE, были скомпрометированы после того, как хакеры использовали недавно обнаруженную уязвимость максимальной степени опасности, известную как Для просмотра ссылки Войди или Зарегистрируйся . На данный момент нет ни патча, ни обходного решения, и единственная рекомендация для клиентов по обеспечению безопасности устройств - "отключить функцию HTTP-сервера на всех системах, доступных из интернета".

Сетевое оборудование, работающее на Cisco IOS XE, включает в себя корпоративные коммутаторы, промышленные маршрутизаторы, точки доступа, беспроводные контроллеры, агрегационные и филиальные маршрутизаторы.


xl8z6iwmp9b0sjn7h7j4sixagfey0ivg.png


<span style="font-size: 8pt;"> Результаты LeakIX для устройств Cisco IOS XE, опубликованные в Интернете,</span>
<span style="font-size: 8pt;"> </span>

Изначальные оценки скомпрометированных устройств Cisco IOS XE составляли около 10 000, но это число начало расти, когда исследователи безопасности начали сканирование интернета для получения более точной цифры. Во вторник, инструмент LeakIX для индексации услуг и веб-приложений, доступных в публичном интернете, сообщил о наличии около 30 000 зараженных устройств.

Используя тот же метод верификации от Cisco, частный CERT от Orange Для просмотра ссылки Войди или Зарегистрируйся в среду, что было обнаружено более 34 500 IP-адресов Cisco IOS XE с вредоносным кодом в результате эксплуатации CVE-2023-20198.


1u0ufojza0y3bokzj45w2zj5vznkxjyk.png


<span style="font-size: 8pt;"> Результаты Censys для хостов Cisco IOS XE в общедоступном веб</span>
<span style="font-size: 8pt;"> </span>

<span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Ниже приведен снимок экрана с результатами Shodan для устройств Cisco, веб-интерфейс которых доступен через Интернет, по запросу Симо Кохонена, генерального директора компании по кибербезопасности Aves Netsec.</span>


m9e5u5tg43sepesm66pjmy9p7vmt6gyg.png


Исследователь безопасности Для просмотра ссылки Войди или Зарегистрируйся также искал в Shodan устройства Cisco IOS XE, уязвимые для CVE-2023-20198, и обнаружил в сети около 90 000 хостов.

В США многие устройства принадлежат таким поставщикам услуг связи, как Comcast, Verizon, Cox Communications, Frontier, AT&T, Spirit, CenturyLink, Charter, Cobridge, Windstream и Google Fiber.

В список Седжиямы также входят медицинские центры, университеты, офисы шерифа, школьные округа, магазины повседневного спроса, банки, больницы и государственные учреждения, устройства Cisco IOS XE которых доступны в Интернете.

<span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Компания Cisco обновила Для просмотра ссылки Войди или Зарегистрируйся по безопасности, включив в них новые IP-адреса и имена учетных записей злоумышленников. Также были добавлены новые правила для системы обнаружения вторжений Snort с открытым исходным кодом и инструментов предотвращения вторжений.</span>

Эксперты сообщают, что злоумышленники используют вредоносное ПО, которое теряется после перезагрузки устройства. Однако созданные с его помощью аккаунты остаются активными и имеют максимальные административные привилегии.

Анализ от Cisco показал, что злоумышленник собирает детальную информацию о системе и проводит разведку. Они также стирают системные журналы и удаляют учетные записи, вероятно, чтобы скрыть свои следы.

По мнению исследователей, все атаки были осуществлены одной группой. Однако первоначальный способ их распространения пока не установлен.

Cisco пока не делится дополнительными подробностями об атаках, но обещает опубликовать больше информации по завершении расследования и после выпуска патча.
 
Источник новости
www.securitylab.ru

Похожие темы