Cisco a mis en garde contre une faille de sécurité critique et non corrigée affectant le logiciel IOS XE et qui est activement exploitée dans la nature.
Ancrée dans la fonctionnalité de l’interface utilisateur Web, la vulnérabilité du jour zéro est attribuée comme CVE-2023-20198 et s’est vu attribuer la cote de gravité maximale de 10,0 sur le système de notation CVSS.
Il convient de souligner que cette lacune n’affecte que les équipements réseau d’entreprise sur lesquels la fonctionnalité d’interface utilisateur Web est activée et lorsqu’ils sont exposés à Internet ou à des réseaux non fiables.
« Cette vulnérabilité permet à un attaquant distant non authentifié de créer un compte sur un système affecté avec des privilèges accès niveau 15« , Cisco dit dans un avis de lundi. « L’attaquant peut alors utiliser ce compte pour prendre le contrôle du système affecté. »
Le problème affecte à la fois les appareils physiques et virtuels exécutant le logiciel Cisco IOS XE sur lesquels la fonctionnalité de serveur HTTP ou HTTPS est également activée. À titre d’atténuation, il est recommandé de désactiver la fonctionnalité du serveur HTTP sur les systèmes connectés à Internet.
Le géant des équipements réseau a déclaré avoir découvert le problème après avoir détecté une activité malveillante sur un appareil client non identifié dès le 18 septembre 2023, dans lequel un utilisateur autorisé a créé un compte utilisateur local sous le nom d’utilisateur « cisco_tac_admin » à partir d’une adresse IP suspecte. L’activité inhabituelle a pris fin le 1er octobre 2023.
Dans un deuxième groupe d’activités connexes repéré le 12 octobre 2023, un utilisateur non autorisé a créé un compte d’utilisateur local sous le nom « cisco_support » à partir d’une adresse IP différente.
Cela aurait été suivi d’une série d’actions qui ont abouti au déploiement d’un implant basé sur Lua qui permet à l’acteur d’exécuter des commandes arbitraires au niveau du système ou au niveau de l’IOS.
La pose de l’implant est réalisée en exploitant CVE-2021-1435une faille désormais corrigée affectant l’interface utilisateur Web du logiciel Cisco IOS XE, ainsi qu’un mécanisme encore indéterminé dans les cas où le système est entièrement corrigé contre CVE-2021-1435.
« Pour que l’implant devienne actif, le serveur Web doit être redémarré ; dans au moins un cas observé, le serveur n’a pas été redémarré, de sorte que l’implant n’est jamais devenu actif malgré son installation », Cisco dit.
La porte dérobée, enregistrée sous le chemin du fichier « /usr/binos/conf/nginx-conf/cisco_service.conf », n’est pas persistante, ce qui signifie qu’elle ne survivra pas au redémarrage de l’appareil. Cela dit, les comptes privilégiés malveillants créés restent actifs.
Cisco a attribué les deux séries d’activités au même acteur menaçant, bien que les origines exactes de l’adversaire soient actuellement floues.
« Le premier cluster était peut-être la tentative initiale de l’acteur de tester son code, tandis que l’activité d’octobre semble montrer que l’acteur étendait ses opérations pour inclure l’établissement d’un accès persistant via le déploiement de l’implant », a noté la société.
Cette évolution a incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à émettre un consultatif et ajouter le défaut aux vulnérabilités exploitées connues (KEV) catalogue.
En avril 2023, les agences de cybersécurité et de renseignement britanniques et américaines ont alerté sur des campagnes parrainées par l’État ciblant l’infrastructure des réseaux mondiaux, avec Cisco déclarant que les appareils Route/switch sont une « cible parfaite pour un adversaire qui cherche à la fois à être silencieux et à avoir accès à d’importantes capacités de renseignement ainsi qu’à prendre pied dans un réseau privilégié ».