10 баллов умножить на 10 тысяч
Более десятка тысяч сетевых устройств Cisco оказались взломанными из-за ошибки нулевого дня в операционной системе Cisco IOS XE. Хакеры установили в эти устройства различные вредоносные импланты.
В число пострадавших устройств вошли корпоративные маршрутизаторы, промышленные роутеры, дочки доступа, беспроводные контроллеры и многое другое.
Как установили эксперты компании VulnCheck, специализирующиеся на разведке киберугроз, злоумышленники воспользовались критической уязвимостью, ныне получившей индекс CVE-2023-20198, которая затрагивает все устройства под управлением Cisco IOS XE при условии, что в оболочке используется графический веб-интерфейс (Web UI) и включён режим HTTP/HTTPS-сервера.
«Cisco обладает информацией об активном использовании ранее неизвестной уязвимости в функции веб-интерфейса программного обеспечения Cisco IOS XE, если к нему открыт доступ из интернета или ненадёжных сетей. Уязвимость позволяет удаленному злоумышленнику, не прошедшему авторизацию, создать учетную запись в уязвимой системе с уровнем привилегий 15. Затем злоумышленник может использовать эту учетную запись для получения контроля над уязвимой системой. Действия по блокировке вектора атаки для этой уязвимости смотрите в разделе «Рекомендации» данного информационного бюллетеня. Cisco в скором времени предоставит сведения о расследовании и выпуске программных обновлений», - говорится в публикации вендора.
Иными словами, любой желающий может воспользоваться этой уязвимостью для получения административных привилегий в системе.
«В Cisco «забыли» упомянуть о тысячах доступных из интернета систем под управлением IOS XE, на которые уже установлены импланты. Ситуация крайне скверна: привилегированный доступ к IOS XE, скорее всего, позволяет злоумышленникам мониторить весь сетевой трафик, просачиваться в защищённые сети и осуществлять любое количество атак класс «человек посередине», - отметил технический директор компании VulnCheck Джейкоб Бэйнс (Jacob Baines) в публикации на сайте своей компании.
По его словам, специалисты VulnCheck уже выявили 10 тысяч заражённых устройств. И это только по итогам сканирования примерно половины систем, подсвеченных поисковиками Shodan и Censys. Очевидно, что итоговое значение будет намного выше.
Общее количество сетевых устройств Cisco с включённым веб-интерфейсом, доступных извне, сейчас, по данным поисковика Shodan, составляет более 140 тысяч.
Месяц без патча
Об уязвимости Cisco стало известно в сентябре, после того, как в службу поддержки клиентов Cisco Technical Assistance Center (TAC) начали поступать сообщения о подозрительных явлениях, происходящих в устройствах под управлением IOS XE. Атаки начались, самое позднее, 18 сентября, когда злоумышленников удалось застигнуть непосредственно за созданием пользовательских аккаунтов cisco_tac_admin и cisco_support (для которых планировалось, по-видимому, повысить привилегии до административного уровня).
Также удалось пронаблюдать, как хакеры устанавливают вредоносные импланты, используя эксплойты к старым уязвимостям (в частности, 6,6-балльной уязвимости CVE-2021-1435, допускающей инъекцию команд в Web UI) и другие - пока неизвестные - методы для того, чтобы запускать в скомпрометированных устройствах произвольные команды на уровне системы или в среде IOS EX.
- 10-балльные уязвимости встречаются довольно редко, но это одна из них, - отмечает Анастасия Мельникова, директор по информацинной безопасности компании SEQ. - Это означает не только, что её успешная эксплуатация обеспечивает злоумышленникам возможность делать всё, что угодно, но и то, что её легко эксплуатировать и никаких смягчающих факторов нет. Это также может означать, что её непросто исправить: месяц - довольно большой и обычно достаточный срок для подготовки исправлений, однако их нет до сих пор.
В Cisco рекомендуют администраторам временно - до выпуска патча - деактивировать функцию HTTP/HTTPS-сервера и внимательно отслеживать любые подозрительные события и свежесозданные аккаунты. Они вполне могут быть признаками текущей атаки.