La puerta trasera implantada en los dispositivos Cisco mediante la explotación de un par de fallas de día cero en el software IOS XE ha sido modificada por el actor de amenazas para escapar de la visibilidad a través de métodos anteriores de toma de huellas digitales.
«El tráfico de red investigado hacia un dispositivo comprometido ha demostrado que el actor de la amenaza ha actualizado el implante para realizar una verificación adicional del encabezado», dijo el equipo Fox-IT de NCC Group. dicho. «Por lo tanto, para muchos dispositivos, el implante todavía está activo, pero ahora solo responde si se establece el encabezado HTTP de autorización correcto».
Los ataques implican crear CVE-2023-20198 (puntuación CVSS: 10,0) y CVE-2023-20273 (puntuación CVSS: 7,2) en una cadena de exploits que otorga al actor de la amenaza la capacidad de obtener acceso a los dispositivos, crear una cuenta privilegiada, y, en última instancia, implementar un implante basado en Lua en los dispositivos.
El desarrollo se produce cuando Cisco comenzó a implementar actualizaciones de seguridad para abordar las cuestionescon más actualizaciones por venir en una fecha aún no revelada.
Actualmente se desconoce la identidad exacta del actor de amenazas detrás de la campaña, aunque se estima que la cantidad de dispositivos afectados es de miles, según los datos compartidos por VulnCheck y la empresa de gestión de superficies de ataque Censys.
«Las infecciones parecen ataques masivos», dijo a The Hacker News Mark Ellzey, investigador senior de seguridad de Censys. «Puede llegar un momento en el que los hackers revisen lo que tienen y averigüen si algo vale algo».
Sin embargo, la cantidad de dispositivos comprometidos cayó en picado en los últimos díasdisminuyendo de aproximadamente 40.000 a unos pocos cientos, lo que llevó a especulaciones de que pudo haber habido algún cambios bajo el capó para ocultar su presencia.
Las últimas alteraciones en el implante descubiertas por Fox-IT explican el motivo de la caída repentina y dramática, ya que se ha observado que más de 37.000 dispositivos todavía están comprometidos con el implante.
Cisco, por su parte, ha confirmado el cambio de comportamiento en sus avisos actualizados, comparte un comando curl que se puede emitir desde una estación de trabajo para verificar la presencia del implante en los dispositivos –
curl -k -H «Autorización: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb» -X POST «https://systemip/webui/logoutconfirm.html?logon_hash=1»
«Si la solicitud devuelve una cadena hexadecimal como 0123456789abcdef01, el implante está presente», señaló Cisco.