Новости Хакеры захватили IOS XE, компания Cisco выпускает экстренное исправление

NewsMaker

I'm just a script
Премиум
13,891
20
8 Ноя 2022
Эксперты фиксируют резкий спад числа заражённых устройств, однако и тут есть подвох.


uz05bnntmmkq8u3tzao1wieas5mzg81b.jpg


Компания Cisco приступила к устранению двух критических zero-day уязвимостей ( Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся ), о которых Для просмотра ссылки Войди или Зарегистрируйся несколько дней назад. Недостатки безопасности активно использовались злоумышленниками на протяжении последней недели для успешного взлома более 50 тысяч устройств Cisco IOS XE.

Cisco отслеживает обе уязвимости под идентификатором « Для просмотра ссылки Войди или Зарегистрируйся », а находятся они в веб-интерфейсе устройств, на которых запущено ПО IOS XE. CVE-2023-20198 имеет максимальный рейтинг серьёзности — 10/10 по шкале CVSS , в то время как CVE-2023-20273 присвоено 7,2 балла.

Компания сообщила, что устранила уязвимости в релизе IOS XE 17.9.4a, который можно загрузить и установить с Для просмотра ссылки Войди или Зарегистрируйся Cisco. Позже обновления выйдут и для версий 17.6, 17.3, 16.12.

Поставщик сетевого оборудования сообщает, что злоумышленники сначала использовали критическую уязвимость для доступа к устройству, а затем «выполнили команду с привилегией 15» для создания обычной локальной учётной записи.

На устройствах Cisco разрешения на выдачу команд ограничены уровнями от 0 до 15, при этом 0 предоставляет пять основных команд («разлогиниться», «включить», «отключить», «справка» и «выход»), а 15 является наиболее привилегированным уровнем, обеспечивающим полный контроль над устройством.

Злоумышленники, смогли повысить привилегии новосозданной локальной учётной записи до уровня «root», эксплуатируя CVE-2023-20273, и затем добавили вредоносный скрипт в файловую систему.

В Cisco предупреждают, что обе уязвимости могут быть использованы хакерами, если функция веб-интерфейса (HTTP-сервер) включена, что возможно с помощью команд «ip http server» или «ip http secure-server».

Администраторы могут проверить, активна ли функция, выполнив команду «show running-config | include ip http server|secure|active», чтобы проверить глобальную конфигурацию для ip http-сервера или команд ip http secure-server.

«Наличие одной или обеих команд в конфигурации системы указывает на то, что функция веб-интерфейса включена», — сообщает Cisco.

После раскрытия информации о CVE-2023-20198, исследователи стали искать заражённые устройства в Интернете. За выходные количество взломанных устройств резко снизилось с 60 000 до нескольких сотен. Причина этого резкого падения, по мнению исследователей из компании Fox-IT , в том, что вредоносный код на десятках тысяч устройств «был изменён для проверки значения HTTP-заголовка авторизации перед ответом», и что реальное количество заражённых устройств на самом деле не изменилось.

Исследователи советуют администраторам систем IOS XE проверить их устройства на наличие вредоносного кода, а также в обязательном порядке обновить их до самой последней версии.
 
Источник новости
www.securitylab.ru

Похожие темы