В открытом доступе появился PoC-эксплоит для критической уязвимости в Cisco IOS XE (CVE-2023-20198), которая уже использовалась злоумышленниками для взлома десятков тысяч устройств. Исследователи ожидают, что теперь атак станет еще больше.

CVE-2023-20198

С сентября 2023 года устройства Cisco под управлением IOS XE находятся под массовыми атаками из-за недавно обнаруженных 0-day уязвимостей CVE-2023-20198 и CVE-2023-20273.

Злоумышленники используют баги CVE-2023-20198 и CVE-2023-20273 для проникновения на уязвимые устройства и создания привилегированных учетных записей (с наивысшим уровнем привилегий 15), а затем получают root-права и устанавливают в систему написанный на Lua бэкдор, который позволяет удаленно выполнять команды.

Обе уязвимости можно эксплуатировать только в том случае, если на устройстве включена функция веб-интерфейса (HTTP-сервер), что можно осуществить через ip http server или ip http secure-server, и устройство подключено к интернету или ненадежной сети.

В конце октября количество скомпрометированных устройств, на которых обнаруживался Lua-имплантат, превысило 50 000, но потом резко пошло на спад. Исследователи обнаруживали лишь 100-1000 взломанных девайсов, в зависимости от результатов разных сканирований.

Оказалось, злоумышленники, стоящие за этими атаками, поняли свою ошибку (их имплантат слишком легко обнаруживался удаленно), и вредоносный код на десятках тысяч взломанных устройств был «изменен, чтобы проверять значение HTTP-заголовка авторизации перед ответом».

Аналитики компании Fox-IT сообщали, что по состоянию на конец октября 2023 года заражены около 38 000 хостов Cisco IOS XE.

Исследователи из компании Horizon3.ai поделились подробностями о том, как злоумышленник может обойти аутентификацию на устройствах Cisco IOS XE, уязвимых перед CVE-2023-20198. В техническом отчете компании показано, что хакеры могут использовать уязвимость для создания нового пользователя с наивысшим уровнем привилегий 15, который обеспечивает полный контроль над устройством.

Эксплоит был разработан благодаря информации, полученной с помощью ханипота киберкриминалистов из команды SECUINFRA.

Horizon3.ai объясняет, что злоумышленник может закодировать HTTP-запрос к службе Web Services Management Agent (WMSA) в iosd — бинарном файле IOS XE, который может генерировать конфигурационный файл для OpenResty (сервера на базе Nginx с поддержкой Lua-скриптов), используемый службой webui, уязвимой перед CVE-2023-20198.

«Суть уязвимости кроется в первой строке запроса POST /%2577ebui_wsma_HTTP. Хитрая кодировка webui_wsma_http обходит согласования Nginx и позволяет обратиться к сервису WMSA в iosd», — пишут эксперты.

WSMA позволяет выполнять команды через SOAP-запросы, в том числе и те, которые дают доступ к функции конфигурации, позволяющей создавать пользователей с высокими привилегиями в системе. Тестируя свой эксплоит, исследователи смогли создать нового пользователя с привилегиями 15-го уровня, видимого в интерфейсе управления устройством. После этого  злоумышленник получает полный контроль над устройством и может внедрять вредоносные импланты, не прибегая к использованию других багов.

Специалисты LeakIX, специализирующиеся на сборе информации о незащищенных онлайн-сервисах, подтверждают, что эксплоит, который наблюдали в SECUINFRA, может использоваться для успешного взлома уязвимых устройств Cisco IOS XE.  Кроме того, ханипоты LeakIX для Cisco IOS XE были атакованы злоумышленникам, что позволило исследователям увидеть команды, выполняемые на устройствах.

Так, В PCAP-файле сессии, видно, что хакеры выполняли следующие команды для разведки и сбора информации, чтобы обнаружить важные цели:

  • show ip interface brief;
  • show ip dns view;
  • show ip name-servers.

Стоит отметить, что в начале текущей недели разработчики Cisco обновили свой бюллетень безопасности, посвященный CVE-2023-20198, сообщив об обновлениях для IOS XE, связанных с этой уязвимостью. Сообщается, что на данный момент только версия 17.3  все еще уязвима перед этим багом, и компания устранила проблему в обновлениях Software Maintenance Updates (SMU).

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии