Dopo una recente backdoor scoperta sui sistemi CISCO, sembra che il colosso multinazionale che produce router, telefoni rj45 abbia ancora qualche problema con i suoi sistemi.
In cosa consiste questa “nuova” backdoor di Cisco
La backdoor è stata impiantata nei dispositivi Cisco sfruttando una coppia di vulnerabilità zero-day nel software IOS XE è stato modificata da qualche malintenzionato per sfuggire alla visibilità attraverso metodi di rilevamento precedenti.
“Il traffico di rete investigato su un dispositivo compromesso ha mostrato che l’hacker ha aggiornato l’impianto per effettuare un controllo aggiuntivo sull’intestazione“, ha dichiarato il team Fox-IT della NCC Group. “Quindi, per molti dispositivi, l’impianto è ancora attivo, ma ora risponde solo se l’intestazione HTTP di autorizzazione corretta è impostata.”
Gli attacchi implicano la creazione di una catena di exploit sfruttando CVE-2023-20198 (punteggio CVSS: 10.0) e CVE-2023-20273 (punteggio CVSS: 7.2) che concede a coloro che entrano abusivamente la capacità di accedere ai dispositivi, creare un account privilegiato e infine distribuire un impianto basato su Lua sui dispositivi.
Lo sviluppo avviene mentre Cisco ha iniziato a rilasciare aggiornamenti di sicurezza per affrontare i problemi, con ulteriori aggiornamenti in arrivo in una data non ancora divulgata.
L’identità esatta di colui (o coloro) che sta (o stanno) dietro la campagna attuale non è attualmente nota, anche se il numero di dispositivi interessati è stimato essere nell’ordine dei migliaia, in base ai dati condivisi da VulnCheck e dall’azienda di gestione della superficie di attacco Censys.
“Le infezioni sembrano essere attacchi su vasta scala“, ha dichiarato Mark Ellzey, ricercatore senior in sicurezza presso Censys “Potrebbe esserci un momento in cui gli hacker esaminano ciò che hanno e cercano di capire se c’è qualcosa di valore.”
Tuttavia, il numero di dispositivi compromessi è diminuito drasticamente nei giorni scorsi, passando da circa 40.000 a qualche centinaio, il ché ha portato a speculazioni sul fatto che possano esserci state alcune modifiche nascoste sotto il cofano per nascondere la loro presenza.
Le ultime modifiche all’impianto scoperte da Fox-IT spiegano il motivo di questa improvvisa e drastica diminuzione, poiché più di 37.000 dispositivi sono stati osservati come ancora compromessi con l’impianto.
Da parte sua, Cisco ha confermato il cambiamento comportamentale nelle sue linee guida aggiornate, condividendo un comando curl che può essere emesso da una postazione di lavoro per verificare la presenza dell’impianto sui dispositivi, eseguendo questo comando: curl -k -H “Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb” -X POST “https://systemip/webui/logoutconfirm.html?logon_hash=1”
“Se la richiesta restituisce una stringa esadecimale come 0123456789abcdef01, l’impianto [malevolo] è presente“, ha reso noto Cisco.
Conclusione
Questa situazione evidenzia quanto sia critica la necessità di garantire la sicurezza delle infrastrutture di rete e dei dispositivi connessi; l’exploit di vulnerabilità zero-day su dispositivi Cisco, che ha portato all’installazione di un backdoor, mette in evidenza l’importanza della sicurezza informatica in un mondo sempre più interconnesso.
Il fatto che l’hacker abbia apportato modifiche al backdoor per sfuggire alla rilevazione è un chiaro esempio di quanto gli attaccanti siano sempre più sofisticati nel nascondere le loro tracce e prolungare l’accesso non autorizzato; oltretutto, il numero stimato di migliaia di dispositivi coinvolti dimostra quanto siano ampie le opportunità per gli attaccanti di sfruttare tali vulnerabilità.
Le aziende e gli organizzazioni devono adottare misure proattive per difendersi da minacce simili; questo include l’applicazione tempestiva di patch e aggiornamenti di sicurezza, il monitoraggio costante del traffico di rete alla ricerca di comportamenti sospetti, l’implementazione di autenticazione a più fattori e l’adozione di politiche di sicurezza rigorose.
Concludendo, collaborazione tra aziende, organizzazioni di sicurezza e autorità governative è essenziale per condividere informazioni e mitigare minacce in modo più efficace; la sicurezza informatica è una sfida in continua evoluzione, e la situazione attuale mette in evidenza la necessità di una vigilanza costante e di investimenti nella sicurezza informatica.
