Cisco a mis en garde contre une nouvelle faille zero-day dans IOS XE qui a été activement exploitée par un acteur malveillant inconnu pour déployer un implant malveillant basé sur Lua sur des appareils sensibles.
Suivi comme CVE-2023-20273 (score CVSS : 7,2), le problème est lié à une faille d’élévation de privilèges dans la fonctionnalité de l’interface utilisateur Web et aurait été utilisé avec CVE-2023-20198 dans le cadre d’une chaîne d’exploitation.
« L’attaquant a d’abord exploité CVE-2023-20198 pour obtenir un accès initial et a émis une commande privilège 15 pour créer une combinaison d’utilisateur local et de mot de passe », a déclaré Cisco dans un avis mis à jour publié vendredi. « Cela a permis à l’utilisateur de se connecter avec un accès utilisateur normal. »
« L’attaquant a ensuite exploité un autre composant de la fonctionnalité de l’interface utilisateur Web, en exploitant le nouvel utilisateur local pour élever le privilège de root et écrire l’implant dans le système de fichiers », une lacune à laquelle a été attribué l’identifiant CVE-2023-20273.
Un porte-parole de Cisco a déclaré à The Hacker News qu’un correctif couvrant les deux vulnérabilités a été identifié et sera mis à la disposition des clients à partir du 22 octobre 2023. En attendant, il est recommandé de désactiver la fonctionnalité du serveur HTTP.
Alors que Cisco avait déjà mentionné qu’une faille de sécurité désormais corrigée dans le même logiciel avait été exploitée pour installer la porte dérobée, la société a estimé que la vulnérabilité n’était plus associée à l’activité à la lumière de la découverte du nouveau zero-day.
« Un acteur distant non authentifié pourrait exploiter ces vulnérabilités pour prendre le contrôle d’un système affecté », a déclaré l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA). « Plus précisément, ces vulnérabilités permettent à l’acteur de créer un compte privilégié qui offre un contrôle complet sur l’appareil. »
Une exploitation réussie des bogues pourrait permettre aux attaquants d’obtenir un accès à distance sans entrave aux routeurs et commutateurs, de surveiller le trafic réseau, d’injecter et de rediriger le trafic réseau et de l’utiliser comme tête de pont persistante sur le réseau en raison du manque de solutions de protection pour ces appareils.
Ce développement intervient alors que plus de 41 000 appareils Cisco exécutant le logiciel vulnérable IOS XE auraient été compromis par des acteurs malveillants utilisant les deux failles de sécurité, selon les données de Censys et FuiteIX.
« Le 19 octobre, le nombre d’appareils Cisco compromis est tombé à 36 541 », a indiqué la société de gestion des surfaces d’attaque. « Les principales cibles de cette vulnérabilité ne sont pas les grandes entreprises mais les petites entités et les individus. »
