Περισσότερες από 40.000 συσκευές Cisco που εκτελούν το λειτουργικό σύστημα IOS XE έχουν παραβιαστεί μετά από εκμετάλλευση μιας πρόσφατα αποκαλυφθείσας ευπάθειας μέγιστης σοβαρότητας, γνωστή ως CVE-2023-20198.
Δείτε επίσης: Cisco: Προειδοποιεί για μια νέα ευπάθεια στο λειτουργικό σύστημα IOS XE
Δεν υπάρχει διαθέσιμη επιδιόρθωση ή εναλλακτική λύση και η μόνη σύσταση ώστε οι πελάτες να ασφαλίσουν τις συσκευές τους, είναι να “απενεργοποιήσουν τη λειτουργία του HTTP Server σε όλα τα συστήματα που βρίσκονται στο διαδίκτυο.”
Το δίκτυο εξοπλισμού που λειτουργεί με Cisco IOS XE περιλαμβάνει επιχειρηματικούς switch, βιομηχανικούς δρομολογητές, σημεία πρόσβασης, ασύρματους ελεγκτές και δρομολογητές branch. Οι αρχικές εκτιμήσεις για τις παραβιασμένες συσκευές Cisco IOS XE ήταν περίπου 10.000 και ο αριθμός άρχισε να αυξάνεται καθώς οι ερευνητές ασφαλείας σάρωναν το διαδίκτυο για μια πιο ακριβή εκτίμηση.
Την Τρίτη, το LeakIX που χρησιμοποιείται για την ευρετηρίαση υπηρεσιών και εφαρμογών ιστού που εκτίθενται στο δημόσιο ίντερνετ ανέφερε ότι ανακάλυψε περίπου 30.000 μολυσμένες συσκευές, χωρίς να υπολογίζονται οι επανεκκινηθείσες συστάσεις.
Η έρευνα βασίστηκε στα ενδεικτικά στοιχεία παραβίασης (IoCs) που παρείχε η Cisco για να προσδιορίσει την επιτυχή εκμετάλλευση του CVE-2023-20198 σε μία εκτεθειμένη συσκευή και αποκάλυψε χιλιάδες μολυσμένους κόμβους στις Ηνωμένες Πολιτείες, τις Φιλιππίνες και τη Χιλή. Χρησιμοποιώντας την ίδια μέθοδο επαλήθευσης από την Cisco, το ιδιωτικόCERT της Orange ανακοίνωσε την Τετάρτη ότι υπήρχαν περισσότερες από 34.500 διευθύνσεις IP Cisco IOS XE με επιβλαβή backdoor ως αποτέλεσμα της εκμετάλλευσης του CVE-2023-20198. Το CERT Orange δημοσίευσε επίσης ένα σενάριο Python για τη σάρωση της παρουσίας ενός κακόβουλου backdoor σε μια συσκευή δικτύου που εκτελεί το Cisco IOS XE.
Σε μια ενημέρωση στις 18 Οκτωβρίου, η πλατφόρμα αναζήτησης Censys για την αξιολόγηση του επιθέσιμου χώρου για συσκευές που συνδέονται στο διαδίκτυο, ανέφερε ότι ο αριθμός των παραβιασμένων συσκευών που εντόπισε αυξήθηκε σε 41.983.
Είναι δύσκολο να βρεθεί ο ακριβής αριθμός των συσκευών Cisco IOS XE που είναι προσβάσιμες μέσω του δημόσιου διαδικτύου, αλλά το Shodan δείχνει περίπου 145.000 οικοδεσπότες, με την πλειονότητά τους να βρίσκονται στις Ηνωμένες Πολιτείες.
Ο ερευνητής ασφάλειας Yutaka Sejiyama αναζήτησε επίσης στο Shodan για συσκευές Cisco IOS XE που είναι ευάλωτες στο CVE-2023-20198 και εντόπισε κοντά στους 90.000 κεντρικούς υπολογιστές που εκτίθενται στον ιστό.
Δείτε ακόμα: H Cisco διορθώνει ευπάθεια στο Cisco Emergency Responder
Στις Η.Π.Α., πολλές από τις συσκευές προέρχονται από παρόχους επικοινωνίας όπως η Comcast, η Verizon, η Cox Communications, η Frontier, η AT&T, η Spirit, η CenturyLink, η Charter, η Cobridge, η Windstream και η Google Fiber. Η λίστα του Sejiyama περιλαμβάνει επίσης ιατρικά κέντρα, πανεπιστήμια, γραφεία σερίφη, σχολικά διαμερίσματα, καταστήματα, τράπεζες, νοσοκομεία και κυβερνητικά οργανισμούς με διαθέσιμες συσκευές Cisco IOS XE στο διαδίκτυο.
Ο ερευνητής εξέφρασε ανησυχία για αυτές τις πρακτικές, αναφέροντας ότι “οργανισμοί που χρησιμοποιούν τον εξοπλισμό με αυτόν τον τρόπο είναι πιθανό να μην είναι ενήμεροι για αυτήν την ευπάθεια ή παραβίαση“.
Η Cisco αποκάλυψε το CVE-2023-20198 τη Δευτέρα, αλλά οι δράστες το εκμεταλλεύονταν από πριν τις 28 Σεπτεμβρίου, ως zero-day, για να δημιουργήσουν έναν λογαριασμό υψηλής πρόσβασης σε επηρεαζόμενους υπολογιστές και να έχουν πλήρη έλεγχο της συσκευής.
Η Cisco ενημέρωσε σήμερα την ανακοίνωσή της με νέες διευθύνσεις IP και ονόματα χρηστών επιτιθέμενων, καθώς και νέους κανόνες για το Snort, ένα ανοικτού κώδικα σύστημα ανίχνευσης εισβολής και πρόληψης εισβολής στο δίκτυο.
Οι ερευνητές σημειώνουν ότι οι δράστες που βρίσκονται πίσω από αυτές τις επιθέσεις χρησιμοποιούν ένα κακόβουλο backdoor, το οποίο δεν διατηρείται μόνιμα και αφαιρείται μετά την επανεκκίνηση της συσκευής. Ωστόσο, οι νέοι λογαριασμοί που βοήθησε να δημιουργηθούν συνεχίζουν να είναι ενεργοί και “έχουν προνόμια επιπέδου 15, που σημαίνει ότι έχουν πλήρη διαχειριστική πρόσβαση στη συσκευή.”
Σύμφωνα με την ανάλυση της Cisco, ο επιτιθέμενος συλλέγει λεπτομέρειες για τη συσκευή και πραγματοποιεί προκαταρκτική δραστηριότητα. Ο επιτιθέμενος επίσης διαγράφει τα αρχεία καταγραφής και αφαιρεί χρήστες, πιθανώς για να κρύψει τη δραστηριότητά του. Οι ερευνητές πιστεύουν ότι πίσω από αυτές τις επιθέσεις βρίσκεται μόνο ένας δράστης, αλλά δεν μπόρεσαν να καθορίσουν τον αρχικό μηχανισμό παράδοσης. Η Cisco δεν έχει αποκαλύψει περισσότερες λεπτομέρειες για τις επιθέσεις, αλλά υποσχέθηκε να παρέχει περισσότερες πληροφορίες όταν ολοκληρωθεί η έρευνα και όταν υπάρξει διαθέσιμη μια λύση.
Δείτε επίσης: Cisco: Προτρέπει τους διαχειριστές να διορθώσουν ένα IOS zero-day
Ποια μέτρα ασφαλείας πρέπει να ληφθούν για την προστασία των συσκευών από αυτό το backdoor;
Στην προσπάθεια μας να επιτύχουμε το στόχο της μέγιστης ασφάλειας, είναι αναγκαίο να εκτιμήσουμε και να εντοπίσουμε πιθανές απειλές.
Πρώτον, είναι σημαντικό να ενημερωνόμαστε συνεχώς για τις τελευταίες ευπάθειες σε λογισμικό και υλικό. Αυτό μπορεί να μπορεί να γίνει διαβάζοντας τακτικά σχετικά κείμενα και αναφορές και έχοντας συνεχή εκπαίδευση σε ζητήματα ασφαλείας.
Συνιστώμενες δράσεις
- Εφαρμογή αποτελεσματικών πολιτικών ασφαλείας: Η δημιουργία και εφαρμογή σωστά δομημένων πολιτικών ασφαλείας είναι κρίσιμης σημασίας.
- Εγκατάσταση συστημάτων προστασίας: Αυτό περιλαμβάνει τόσο την εγκατάσταση ισχυρού λογισμικού ανίχνευσης εισβολών, όσο και τη δημιουργία φυσικών μέτρων προστασίας.
- Εκπαίδευση του προσωπικού: Το προσωπικό πρέπει να είναι ενημερωμένο για τα τελευταία πρότυπα ασφαλείας και πώς να αναγνωρίζει και να αντιμετωπίζει πιθανές απειλές.
Πηγή: bleepingcomputer
