La porte dérobée implantée sur les appareils Cisco en exploitant deux failles zero-day dans le logiciel IOS XE a été modifiée par l’acteur malveillant afin d’échapper à la visibilité via les méthodes d’empreintes digitales précédentes.
“L’enquête sur le trafic réseau vers un appareil compromis a montré que l’acteur malveillant a mis à niveau l’implant pour effectuer une vérification d’en-tête supplémentaire”, a déclaré l’équipe Fox-IT du groupe NCC. dit. “Ainsi, pour de nombreux appareils, l’implant est toujours actif, mais ne répond désormais que si l’en-tête HTTP d’autorisation correct est défini.”
Les attaques consistent à transformer CVE-2023-20198 (score CVSS : 10,0) et CVE-2023-20273 (score CVSS : 7,2) en une chaîne d’exploitation qui donne à l’acteur malveillant la possibilité d’accéder aux appareils, de créer un compte privilégié, et finalement déployer un implant basé sur Lua sur les appareils.
Ce développement intervient alors que Cisco a commencé à déployer des mises à jour de sécurité pour aborder les problèmesavec d’autres mises à jour à venir à une date encore inconnue.
L’identité exacte de l’auteur de la menace à l’origine de la campagne n’est actuellement pas connue, bien que le nombre d’appareils concernés soit estimé à plusieurs milliers, sur la base des données partagées par VulnCheck et la société de gestion de surface d’attaque Censys.
“Les infections ressemblent à des piratages massifs”, a déclaré Mark Ellzey, chercheur principal en sécurité chez Censys, à The Hacker News. “Il y aura peut-être un moment où les pirates examineront ce qu’ils ont et détermineront si quelque chose vaut quelque chose.”
Cependant, le nombre d’appareils compromis s’est effondré ces derniers jourspassant d’environ 40 000 à quelques centaines, ce qui laisse supposer qu’il pourrait y avoir eu quelques changements sous le capot pour cacher sa présence.
Les dernières modifications de l’implant découvertes par Fox-IT expliquent la raison de cette baisse soudaine et spectaculaire, car il a été observé que plus de 37 000 appareils étaient encore compromis avec l’implant.
Cisco, de son côté, a confirmé le changement de comportement dans ses avis mis à jour, partageant une commande curl pouvant être émise depuis un poste de travail pour vérifier la présence de l’implant sur les appareils –
curl -k -H “Autorisation : 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb” -X POST “https://systemip/webui/logoutconfirm.html?logon_hash=1”
“Si la requête renvoie une chaîne hexadécimale telle que 0123456789abcdef01, l’implant est présent”, a noté Cisco.