На прошлой неделе Cisco Systems столкнулась с необходимостью усиления защищённости своих маршрутизаторов и коммутаторов под управлением IOS XE, поскольку обнаруженная уязвимость CVE-2023-20198 позволяла злоумышленникам удалённо получить фактически полный контроль над устройствами, которых, как теперь считается, в Сети около 40 000 единиц. Тем временем злоумышленники пытаются скрыть наличие имплантата в уже заражённых устройствах.
Уязвимый HTTP(S)-интерфейс используется для подготовки и настройки устройства, а также для устранения неполадок и дополняет интерфейс командной строки. Хотя первая атака произошла в середине сентября, исследователи Cisco Talos до конца месяца о ней не подозревали. После того как была обнаружена первая уязвимость, исследователи решили, что она использовалась в сочетании со старой уязвимостью удалённого выполнения кода (RCE) от 2021 года (CVE-2021-1435), но затем стало ясно, что они имеют дело с ещё одной новой уязвимостью нулевого дня CVE-2023-20273.
Источник изображения: Pixabay
В совокупности эти два ошибки могут обеспечить злоумышленнику root-доступ, позволяющий развёртывать вредоносное ПО или выполнять любые команды на этих устройствах, независимо от прав доступа других пользователей, что потенциально могло парализовать многие сетевые операции. В связи с этим Cisco начала выпуск исправлений для различных версий IOS XE, начиная с самой последней версии 17.9. Компания также предложила отключить HTTPS(S)-доступ или временно заблокировать сетевой трафик к веб-интерфейсу. Сетевым администраторам рекомендуется проверить журналы доступа на предмет любой вызывающей подозрения или вредоносной активности.
Источники:
