Cisco ha avvisato di una grave falla di sicurezza non corretta che sta influenzando il software IOS XE ed è attivamente sfruttata nell’ambiente online.
Cos’è questo problema rilevato da CISCO
Radicalizzata nella funzione dell’interfaccia web, questa vulnerabilità zero-day è identificata come CVE-2023-20198 e ha ricevuto la massima valutazione di gravità pari a 10.0 nel sistema di punteggio CVSS.
È importante sottolineare che questa vulnerabilità riguarda esclusivamente le attrezzature di rete aziendali che dispongono dell’opzione dell’interfaccia web abilitata e che sono esposte a Internet o a reti non attendibili.
“Questa vulnerabilità consente a un attaccante remoto non autenticato di creare un account su un sistema interessato con accesso di livello 15,” ha dichiarato Cisco in un avviso pubblicato questo lunedì e l’azienda ha aggiunto “L’attaccante può quindi utilizzare quell’account per ottenere il controllo del sistema interessato.”
Il problema riguarda sia i dispositivi fisici che quelli virtuali che eseguono il software Cisco IOS XE e dispongono dell’opzione del server HTTP o HTTPS abilitata. Come misura di mitigazione, si consiglia di disabilitare la funzione del server HTTP sui sistemi esposti a Internet.
Il principale produttore di apparecchiature di rete ha dichiarato di aver scoperto il problema dopo aver rilevato attività dannosa su un dispositivo di un cliente non identificato già a partire dal 18 settembre 2023, in cui un utente autorizzato aveva creato un account utente locale con il nome “cisco_tac_admin” da un indirizzo IP sospetto. L’attività insolita è terminata il 1° ottobre 2023.
In un secondo gruppo di attività correlate rilevate il 12 ottobre 2023, un utente non autorizzato ha creato un account utente locale con il nome “cisco_support” da un diverso indirizzo IP.
Si ritiene che ciò sia stato seguito da una serie di azioni che hanno portato all’installazione di un impianto basato su Lua che consente ad un malintenzionato di eseguire comandi con codice malevolo all’interno a livello di sistema o a livello di IOS.
L’installazione dell’impianto è ottenuta sfruttando CVE-2021-1435, una falla ora corretta che influisce sull’interfaccia web del software Cisco IOS XE, oltre a un meccanismo ancora da determinare nei casi in cui il sistema è completamente aggiornato rispetto a CVE-2021-1435.
“affinché l’impianto diventi attivo, il server web deve essere riavviato; in almeno un caso osservato, il server non è stato riavviato, quindi l’impianto non è mai diventato attivo nonostante sia stato installato” ha dichiarato Cisco.
La backdoor, salvato nella directory “/usr/binos/conf/nginx-conf/cisco_service.conf”, non è persistente, il che significa che non sopravviverà a un riavvio del dispositivo; va però detto che gli account privilegiati fraudolenti creati rimangono attivi.
Cisco ha attribuito le due serie di attività presumibilmente allo stesso malintenzionato (o gruppo di malintenzionati), anche se le origini esatte di questo individuo (o questi individui) sono attualmente incerte.
“Il primo gruppo di attività potrebbe rappresentare il tentativo iniziale dell’attaccante e il test del proprio codice, mentre l’attività di ottobre sembra indicare che l’autore [dell’attacco hacking che sfrutta la falla] stia espandendo le proprie operazioni per includere l’accesso persistente attraverso l’installazione dell’impianto” ha detto l’azienda.
Questo sviluppo ha spinto l’agenzia per la sicurezza informatica e l’infrastruttura degli Stati Uniti (CISA) a emettere un avviso e ad aggiungere la falla al catalogo delle Vulnerabilità Sfruttate Conosciute (detto anche KEV, Known Exploited Vunlerabilities in inglese).
Nell’aprile 2023, le agenzie di sicurezza informatica e intelligence del Regno Unito e degli Stati Uniti hanno messo in guardia sulle campagne sponsorizzate da coloro che prendevano di mira l’infrastruttura globale di rete.
Cisco ha infine concluso che i dispositivi di routing/switch sono un “obiettivo perfetto per un attaccante che vuole rimanere nascosto e avere accesso alle facoltà di intelligence importanti, nonché una presa in una rete presa di mira.”
