Cisco экстренно выпускает патчи для своих устройств, потому что новую «дыру» уже эксплуатируют хакеры

Уязвимость в программных оболочках сетевых устройств Cisco, оцененная в 6,6 балла по шкале CVSS, вынудила вендора срочно выпускать патчи, поскольку кто-то уже пытается её эксплуатировать.

Вроде и не очень опасно...

Cisco выпустила патчи и бюллетень безопасности по поводу новой уязвимости нулевого дня в программных оболочках устройств компании - IOS (не путать с iOS) и IOS XE. Системным администраторам настоятельно рекомендуется срочно установить обновления. Любопытно, что в этот раз речь идет об одной единственной уязвимости среднего уровня опасности. Несмотря на это, хакеры уже активно пытаются ее эксплуатировать.

«Баг» CVE-2023-20109, получивший индекс CVSS 6,6 балла, связан с некорректной валидацией атрибута в протоколах GDOI и G-IKEv2 в функции GET VPN в операционных системах IOS/IOS XE.

Но есть нюанс

При соблюдений определенных условий злоумышленник может добиться запуска произвольного кода в системе и получить полный доступ ко всему ее функционалу. Или просто вызвать сбой в ее работе.

Фото: Cisco

Эксплуатация возможна посредством компрометации встроенного сервера ключей: злоумышленник взламывает существующий ключевой сервер и получает возможность изменять пакеты GDOI или G-IKEv2, которые ключевой сервер отправляет члену группы.

Либо же атакующий сам создать и устанавливает свой собственный ключевой сервер и перенастраивает члена группы для связи с этим ключевым сервером.

И еще один нюанс

Использование этого способа, однако, требует выполнения ряда условий.

Злоумышленник входит в систему как авторизированный пользователь с административными полномочиями, дающими ему право перенастраивать члена группы для подключения к управляемому ключевому серверу.

То есть, злоумышленник уже должен иметь доступ к среде IOS/IOS XE, причем с высоким уровнем привилегий, т.е. быть администратором.

Несмотря на это в Cisco уже отмечают попытки хакеров (видимо, успешные) эксплуатировать эту уязвимость. Поэтому системным администраторам настоятельно рекомендуется как можно скорее установить обновления.

«Довольно редкий случай, когда уязвимость среднего уровня угрозы привлекает такое внимание, хотя и не является частью цепочки эксплойтов, и к тому же требует соблюдения большого количества условий для успешной эксплуатации», - говорит Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. «Однако сам факт того, что эту уязвимость уже эксплуатируют, и, судя по переполоху, успешно, подтверждает, что и среднеопасные уязвимости нельзя обходить вниманием», - подытожил он.

Сами нашли

Уязвимость содержится во всех устройствах, работающих на базе IOS/IOS XE и использующих протоколы GDOI или G-IKEv2. Разработки на базе IOS XR или NX-OS не позволяют эксплуатировать эту уязвимость в принципе.

В бюллетене Cisco указывается, что уязвимость обнаружили сами сотрудники компании после выявления попыток произвести атаку через GET VPN. За этим последовала техническая ревизия кода, позволившая устранить «баг».