Cisco a mis en garde contre une faille de sécurité critique et non corrigée affectant le logiciel IOS XE et qui est activement exploitée dans la nature.
Ancrée dans la fonctionnalité de l’interface utilisateur Web, la vulnérabilité zero-day est classée CVE-2023-20198 et s’est vu attribuer l’indice de gravité maximal de 10,0 sur le système de notation CVSS.
Il convient de souligner que cette lacune n’affecte que les équipements réseau d’entreprise sur lesquels la fonctionnalité d’interface utilisateur Web est activée et lorsqu’ils sont exposés à Internet ou à des réseaux non fiables.
« Cette vulnérabilité permet à un attaquant distant non authentifié de créer un compte sur un système affecté avec un accès de niveau de privilège 15 », a déclaré Cisco dans un avis publié lundi. « L’attaquant peut alors utiliser ce compte pour prendre le contrôle du système affecté. »
Le problème affecte à la fois les appareils physiques et virtuels exécutant le logiciel Cisco IOS XE sur lesquels la fonctionnalité de serveur HTTP ou HTTPS est également activée. À titre d’atténuation, il est recommandé de désactiver la fonctionnalité du serveur HTTP sur les systèmes connectés à Internet.
Le géant des équipements réseau a déclaré avoir découvert le problème après avoir détecté une activité malveillante sur un appareil client non identifié dès le 18 septembre 2023, dans lequel un utilisateur autorisé a créé un compte utilisateur local sous le nom d’utilisateur « cisco_tac_admin » à partir d’une adresse IP suspecte. L’activité inhabituelle a pris fin le 1er octobre 2023.
Dans un deuxième groupe d’activités connexes repéré le 12 octobre 2023, un utilisateur non autorisé a créé un compte d’utilisateur local sous le nom « cisco_support » à partir d’une adresse IP différente.
Cela aurait été suivi d’une série d’actions qui ont abouti au déploiement d’un implant basé sur Lua qui permet à l’acteur d’exécuter des commandes arbitraires au niveau du système ou au niveau de l’IOS.
L’installation de l’implant est réalisée en exploitant CVE-2021-1435, une faille désormais corrigée affectant l’interface utilisateur Web du logiciel Cisco IOS XE, ainsi qu’un mécanisme encore indéterminé dans les cas où le système est entièrement corrigé contre CVE. -2021-1435.
« Pour que l’implant devienne actif, le serveur Web doit être redémarré ; dans au moins un cas observé, le serveur n’a pas été redémarré, de sorte que l’implant n’est jamais devenu actif malgré son installation », a déclaré Cisco.
La porte dérobée, enregistrée sous le chemin du fichier « /usr/binos/conf/nginx-conf/cisco_service.conf », n’est pas persistante, ce qui signifie qu’elle ne survivra pas au redémarrage de l’appareil. Cela dit, les comptes privilégiés malveillants créés restent actifs.
Cisco a attribué les deux séries d’activités au même acteur menaçant, bien que les origines exactes de l’adversaire soient actuellement floues.
« Le premier cluster était peut-être la tentative initiale de l’acteur de tester son code, tandis que l’activité d’octobre semble montrer que l’acteur étendait ses opérations pour inclure l’établissement d’un accès persistant via le déploiement de l’implant », a noté la société.
Ce développement a incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à émettre un avis et à ajouter la faille au catalogue des vulnérabilités exploitées connues (KEV).
En avril 2023, les agences de cybersécurité et de renseignement britanniques et américaines ont alerté sur des campagnes parrainées par l’État ciblant l’infrastructure réseau mondiale, Cisco déclarant que les appareils de routage/commutation sont une « cible parfaite pour un adversaire cherchant à la fois à être silencieux et à avoir accès à d’importantes capacités de renseignement ». ainsi qu’un pied dans un réseau privilégié. »
