CISA ha rilasciato una guida in risposta a sfruttamenti attivi e diffusi, riguardanti due vulnerabilità nel Web User Interface (UI) del Cisco Internetworking Operating System (IOS) XE. Parallelamente, Cisco ha rivelato una nuova vulnerabilità zero-day di alta gravità, attivamente sfruttata per implementare impianti malevoli sui dispositivi IOS XE.
Dettagli sulle vulnerabilità IOS XE
Le vulnerabilità, identificate come CVE-2023-20198 e CVE-2023-20273, potrebbero permettere a un attore remoto non autenticato di prendere il controllo di un sistema compromesso. In particolare, queste vulnerabilità consentono all’attore di creare un account privilegiato che offre il controllo completo del dispositivo. Cisco ha rivelato che gli aggressori non autenticati hanno sfruttato la vulnerabilità CVE-2023-20198 dal 18 settembre per accedere ai dispositivi IOS XE e creare account come “cisco_tac_admin” e “cisco_support”. La CVE-2023-20273 viene poi utilizzata per ottenere l’accesso root e prendere il controllo completo dei dispositivi Cisco IOS XE.
Risposta di Cisco
Cisco ha annunciato di aver trovato una soluzione per entrambe le vulnerabilità e prevede di rilasciarla ai clienti durante il weekend, a partire dal 22 ottobre. La società ha inoltre sottolineato che la CVE-2021-1435, precedentemente menzionata, non è più associata a questa attività.
Impatto e misure preventive per vulnerabilità critiche IOS XE
Si stima che oltre 40.000 dispositivi Cisco che eseguono il software IOS XE vulnerabile siano già stati compromessi dagli hacker utilizzando le due vulnerabilità non ancora corrette. Cisco ha esortato gli amministratori a bloccare gli attacchi in entrata disabilitando la funzione del server HTTP vulnerabile su tutti i sistemi esposti a Internet. Gli amministratori sono inoltre fortemente invitati a cercare account utente sospetti o di recente creazione come potenziali indicatori di attività malevola associata a questi attacchi in corso.