Компания Cisco сообщила о новой уязвимости нулевого дня (CVE-2023-20273), которая активно используется хакерами для развертывания малвари на устройствах IOS XE, скомпрометированных с помощью другой 0-day уязвимости — CVE-2023-20198. В минувшие выходные общее количество взломанных устройств превысило 50 000.
Патчи для обеих проблем наконец готовы и стали доступны для клиентов через Cisco Software Download в минувшие выходные, начиная с 22 октября 2023 года.
При этом в компании сообщили, что пересмотрели свою оценку ситуации. Напомним, что атаки на уязвимость CVE-2023-20198, связанную с веб-интерфейсом IOS XE, начались еще в сентбре. Эта проблема затрагивает только корпоративное сетевое оборудование, на котором включена функция веб-интерфейса и оно подключено к интернету или ненадежной сети. Известно, что с помощью этого бага злоумышленники стремятся взломать устройства под управлением IOS XE и создать на них учетную запись с именем cisco_tac_admin и cisco_support.
Однако ранее эксперты Cisco полагали, что для эксплуатации этой проблемы хакеры используют и другой уже исправленный баг, CVE-2021-1435, тоже затрагивающей веб-интерфейс IOS XE. Теперь же стало ясно, что эта уязвимость не использовалась в атаках. Вместо нее злоумышленники эксплуатировали свежую CVE-2023-20273 для повышения привилегий и получения root-доступа, о чем теперь и предупреждает компания.
По информации аналитиков компаний Censys, в конце прошлой хакеры смогли добиться компрометации почти 50 000 устройств Cisco IOS XE, а позже ИБ-специалисты оценивали количество пострадавших устройств в 60 000. Дело в том, что поиск через Shodan обнаруживал более 140 000 устройств Cisco с включенным веб-интерфейсом, доступных через интернет.
Злоумышленники создавали на устройствах привилегированные учетные записи и устанавливали в систему написанный на Lua бэкдор. Этот имплантат позволял хакерам удаленно выполнять команды с наивысшим уровнем привилегий 15.
Однако в минувшие выходные эксперты сообщили (1, 2), что количество взломанных устройств под управлением IOS XE, зараженных бэкдором, резко сократилось до всего 100–1000 штук, в зависимости от результатов разных сканирований. Дело в том, что малварь не выдерживала перезагрузки, и избавиться от нее можно было довольно быстро.
Теперь ИБ-специалисты строят теории о том, как это могло произойти. К примеру, одна из версий гласит, что в дело могли вмешаться правоохранительные органы.
Другая версия предполагает, что злоумышленники, стоящие за атаками, поняли свою ошибку (имплантат слишком легко обнаруживался удаленно) и теперь сами развертывают обновление, чтобы скрыть свое присутствие. То есть теперь малварь незаметна во время сканирований.
Третья версия допускает, что некий grey-hat хакер автоматизировал перезагрузку зараженных устройств и таким образом очищает их от бэкдора. Нечто подобное уже происходило в 2018 году, когда хакер пропатчил 100 000 маршрутизаторов MikroTik, чтобы их нельзя было использовать для криптоджекинга и DDoS-атак.
Также ИБ-специалисты полагают, что массовый взлом устройств на IOS XE мог быть лишь «прикрытием», а десятки тысяч скомпрометированных девайсов могут оказаться лишь приманкой, позволяющей злоумышленникам скрыть реальные цели своих атак.