Cisco ha segnalato una nuova vulnerabilità zero-day in IOS XE che è stata attivamente sfruttata da un attore minaccioso sconosciuto per distribuire un impianto di codice malevolo basato su Lua su dispositivi suscettibili; per farla breve LUA è un linguaggio di programmazione d’alto livello come possono esserlo C++ o JAVA.
Cosa comporta questa backdoor basata su linguaggio LUA
Identificata come CVE-2023-20273 (punteggio CVSS: 7,2), la problematica basata su linguaggio LUA riguarda una vulnerabilità di escalazione di privilegi nella funzione dell’interfaccia web ed è stata utilizzata insieme a CVE-2023-20198 come parte di una catena di exploit.
“L’attaccante ha prima sfruttato CVE-2023-20198 per ottenere l’accesso iniziale e ha emesso un comando di privilegio 15 per creare un utente locale e una combinazione di password“, ha dichiarato Cisco in un avviso aggiornato pubblicato venerdì. “Ciò ha permesso all’utente di effettuare l’accesso con un normale accesso utente.”
CISCO ha ulteriormente aggiunto: “Successivamente, l’attaccante ha sfruttato un altro componente della funzione dell’interfaccia web, sfruttando il nuovo utente locale per elevare il privilegio di root e scrivere l’impianto nel sistema di file“, il codice CVE assegnato a questa “mancanza” è CVE-2023-20273.
Un portavoce di Cisco ha dichiarato a che è stata identificata una soluzione che copre entrambe le vulnerabilità e sarà resa disponibile ai clienti a partire dal 22 ottobre 2023. Nel frattempo, si consiglia di disabilitare la funzione del server HTTP.
Sebbene Cisco abbia precedentemente menzionato che una vulnerabilità di sicurezza ora risolta nello stesso software era stata sfruttata per installare una porta sul retro, l’azienda ha valutato che la vulnerabilità non è più associata all’attività alla luce della scoperta del nuovo zero-day.
“Un utente [da] remoto non autenticato potrebbe sfruttare queste vulnerabilità per assumere il controllo di un sistema interessato“, ha dichiarato l’Agenzia per la Sicurezza Cibernetica e dell’Infrastruttura degli Stati Uniti (CISA). “In particolare, queste vulnerabilità consentono all’attore di creare un account privilegiato che fornisce il controllo completo sul dispositivo.”
Lo sfruttamento riuscito dei bug potrebbe consentire agli attaccanti di ottenere un accesso remoto illimitato a router e switch, monitorare il traffico di rete, iniettare e reindirizzare il traffico di rete e utilizzarlo come base persistente nella rete a causa della mancanza di soluzioni di protezione per questi dispositivi.
Lo sviluppo avviene mentre si stima che più di 41.000 dispositivi Cisco che eseguono il software IOS XE vulnerabile siano stati compromessi da malintenzionati che sfruttano le due vulnerabilità di sicurezza, secondo i dati di Censys e LeakIX.
“Il 19 ottobre, il numero di dispositivi Cisco compromessi è sceso a 36.541“, hanno dichiarato gli esperti del colosso delle telecomunicazioni. “I principali obiettivi di questa vulnerabilità non sono grandi aziende, ma entità più piccole e singoli individui.”
Conclusione
È importante notare che le vulnerabilità di Cisco IOS XE basate su LUA rappresentano una seria minaccia per la sicurezza delle reti, in quanto possono consentire agli attaccanti di assumere il controllo completo di dispositivi di rete critici e che questi dispositivi vengono utilizzati in una vasta gamma di settori, inclusi governi, aziende e istituzioni educative, rendendo la situazione ancora più preoccupante.
Il fatto che oltre 36.000 dispositivi Cisco siano stati compromessi è un chiaro segnale dell’ampia portata di questo problema e questo dimostra che la minaccia è reale e che una risposta immediata è necessaria per mitigare il rischio.
L’unica cosa che si può fare in queste situazioni è aspettare che tecnici e programmatori risolvano il problema tramite gli amati (ed odiati) aggiornamenti di sistema.
