La porte dérobée implantée sur les appareils Cisco en exploitant deux failles zero-day dans le logiciel IOS XE a été modifiée par l’acteur malveillant afin d’échapper à la visibilité via les méthodes d’empreintes digitales précédentes.
« L’enquête sur le trafic réseau vers un appareil compromis a montré que l’acteur malveillant a mis à niveau l’implant pour effectuer une vérification d’en-tête supplémentaire », a déclaré l’équipe Fox-IT du groupe NCC. dit. « Ainsi, pour de nombreux appareils, l’implant est toujours actif, mais ne répond désormais que si l’en-tête HTTP d’autorisation correct est défini. »
Les attaques consistent à transformer CVE-2023-20198 (score CVSS : 10,0) et CVE-2023-20273 (score CVSS : 7,2) en une chaîne d’exploitation qui donne à l’acteur malveillant la possibilité d’accéder aux appareils, de créer un compte privilégié, et finalement déployer un implant basé sur Lua sur les appareils.
Ce développement intervient alors que Cisco a commencé à déployer des mises à jour de sécurité pour aborder les problèmesavec d’autres mises à jour à venir à une date encore inconnue.
L’identité exacte de l’auteur de la menace à l’origine de la campagne n’est actuellement pas connue, bien que le nombre d’appareils concernés soit estimé à plusieurs milliers, sur la base des données partagées par VulnCheck et la société de gestion de surface d’attaque Censys.
« Les infections ressemblent à des piratages massifs », a déclaré Mark Ellzey, chercheur principal en sécurité chez Censys, à The Hacker News. « Il y aura peut-être un moment où les pirates examineront ce qu’ils ont et détermineront si quelque chose vaut quelque chose. »
Cependant, le nombre d’appareils compromis s’est effondré ces derniers jourspassant d’environ 40 000 à quelques centaines, ce qui laisse supposer qu’il pourrait y avoir eu quelques changements sous le capot pour cacher sa présence.
Les dernières modifications de l’implant découvertes par Fox-IT expliquent la raison de cette baisse soudaine et spectaculaire, car il a été observé que plus de 37 000 appareils étaient encore compromis avec l’implant.
Cisco, de son côté, a confirmé le changement de comportement dans ses avis mis à jour, partageant une commande curl pouvant être émise depuis un poste de travail pour vérifier la présence de l’implant sur les appareils –
curl -k -H « Autorisation : 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb » -X POST « https://systemip/webui/logoutconfirm.html?logon_hash=1 »
« Si la requête renvoie une chaîne hexadécimale telle que 0123456789abcdef01, l’implant est présent », a noté Cisco.