Как и опасались ИБ-эксперты, недавнее снижение количества зараженных устройств Cisco IOS XE было вызвано тем, что атакующие обновили свою малварь, и та перестала обнаруживаться в ходе сканирований. На деле более 37 000 устройств все еще содержат написанный на Lua бэкдор.
Напомним, что с сентября устройства Cisco под управлением IOS XE находятся под массовыми атаками из-за недавно обнаруженных 0-day уязвимостей CVE-2023-20198 и CVE-2023-20273. Патчи для этих проблем были выпущены только в минувшие выходные и теперь доступны для клиентов через Cisco Software Download.
Злоумышленники используют баги CVE-2023-20198 и CVE-2023-20273 для проникновения на уязвимые устройства и создания привилегированных учетных записей (с наивысшим уровнем привилегий 15), а затем получают root-права и устанавливают в систему написанный на Lua бэкдор, который позволяет удаленно выполнять команды.
Обе уязвимости можно эксплуатировать только в том случае, если на устройстве включена функция веб-интерфейса (HTTP-сервер), что можно осуществить через ip http server или ip http secure-server, и устройство подключено к интернету или ненадежной сети.
На прошлой неделе количество скомпрометированных устройств, на которых обнаруживался Lua-имплантат, превысило 50 000, но потом резко пошло на спад. Исследователи обнаруживали лишь 100-1000 взломанных девайсов, в зависимости от результатов разных сканирований.
Эксперты выдвигали разные предложения о том, как это могло произойти, от вмешательства правоохранительных органов, до активности неизвестного grey-hat хакера, который автоматизировал перезагрузку зараженных устройств и таким образом очищает их от бэкдора.
Однако верной оказалась другая теория, которая гласила, что злоумышленники, стоящие за этими атаками, поняли свою ошибку (их имплантат слишком легко обнаруживался удаленно) и обновили малварь, чтобы скрыть свое присутствие. То есть теперь имплантат незаметен во время сканирований.
Так, специалисты из компании Fox-IT сообщили, что вредоносный код на десятках тысяч взломанных устройств был «изменен, чтобы проверять значение HTTP-заголовка авторизации перед ответом».
Обладая этой информацией, аналитики Fox-IT провели еще одно сканирование и пришли к выводу, что 37 890 устройств IOS XE все еще скомпрометированы, и малварь никуда не делась.
Компания VulnCheck, занимающаяся анализом уязвимостей, тоже подтверждает, что тысячи устройств по-прежнему взломаны и, по сути, находятся под контролем злоумышленников.
Разработчикам Cisco уже известно о новом варианте малвари, который «затрудняет выявление скомпрометированных систем». Сообщается, что новую версию вредоноса начали развертывать 20 октября, и она имеет примерно ту же функциональность, что и предыдущая.
В компании рекомендуют использовать для обнаружения этой версии curl-команду:
curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST https://systemip/webui/logoutconfirm.html?logon_hash=1.
«Если запрос возвращает шестнадцатеричную строку, например 0123456789abcdef01, значит в системе присутствует имплант», — сообщают в Cisco.
Подчеркивается, что хотя вредонос, развернутый злоумышленниками, не является постоянным (то есть удаляется при перезагрузке устройства), созданная хакерами учетная запись с высоким уровнем привилегий, остается на устройстве даже после его перезапуска.
