Volgens een op 16 oktober door Cisco Talos vrijgegeven bedreigingswaarschuwing wordt een nieuw en zeer ernstig zero-day lek in de IOS XE-software momenteel door ten minste één speler gebruikt om volledige beheerdersrechten te krijgen en de volledige controle over de betreffende routers over te nemen. Dit ernstige lek wordt aangemerkt als CVE-2023-20198 en moet nog door de leverancier worden gepatcht. Gebruikers kunnen echter de HTTP-serverfunctie uitschakelen van apparaten die op het internet zijn gericht, waardoor de aanvalsvector wordt verwijderd en inkomende aanvallen worden geblokkeerd.
De leverancier waarschuwde dat deze kwetsbaarheid alleen invloed heeft op fysieke en virtuele apparaten met de Web User Interface (Web UI) functie ingeschakeld, waarop ook de HTTP of HTTPS Server functie is ingeschakeld. Beheerders van dergelijke bedrijfsmiddelen die een risico vormen, moeten deze functie tijdelijk uitschakelen om de risico's te beperken (of de toegang beperken tot vertrouwde netwerken), nadat ze enkele eenvoudige onderzoeken hebben uitgevoerd (aangemaakte verdachte accounts, verkeer vanaf 2 kwaadaardige IP-adressen, implantaat op het systeem).
Meld je aan voor onze nieuwsbrief World Watch voor meer updates over deze zaak en toekomstige beveiligingsgebeurtenissen en -incidenten.
World WatchVolgens Cisco kan een aanvaller, wanneer deze kwetsbaarheid wordt misbruikt, een kwaadwillende account aanmaken op het getroffen apparaat met hoge privileges, waardoor deze aanvaller de volledige controle krijgt over het gecompromitteerde apparaat en mogelijk onbevoegde activiteiten kan uitvoeren. De kwetsbaarheid en de aanvallen werden eind september ontdekt door Cisco's Technical Assistance Center (TAC) na meldingen van ongewoon gedrag op een apparaat van een klant.
Na een grondig onderzoek kon het bedrijf de kwaadaardige activiteit terugleiden tot 18 september, toen een geautoriseerde gebruiker een lokale gebruikersaccount aanmaakte met de gebruikersnaam "cisco_tac_admin" vanaf een verdacht IP-adres. Op 12 oktober werd nog een lokaal gebruikersaccount "cisco_support" aangemaakt vanaf een tweede verdacht IP-adres. De aanvallers gebruikten ook een kwaadaardig implantaat om willekeurige commando's uit te voeren op systeem- of IOS-niveau. Cisco Talos is van mening dat deze twee clusters van activiteiten werden gelanceerd door dezelfde bedreigende speler:
Om deze backdoor te activeren, maakten de aanvallers gebruik van een kwetsbaarheid die wordt aangemerkt als CVE-2021-1435 (link naar gedetailleerde pagina voor onze klanten) en die in 2021 door de leverancier is gepatcht. Maar het lek werd toch met succes uitgebuit, zelfs in gepatchte apparaten "via een nog niet bepaald mechanisme", voegde Cisco Talos eraan toe.
Als workaround kunnen gebruikers de HTTP-serverfunctie uitschakelen op systemen die op internet zijn gericht, waardoor de aanvalsvector wordt verwijderd en inkomende aanvallen worden geblokkeerd. Als dat niet mogelijk is, moet je het op zijn minst beperken tot vertrouwde netwerken. CISA bracht dezelfde dag nog een waarschuwing uit waarin gebruikers werden aangemoedigd om de door de leverancier voorgestelde mitigatiemaatregel toe te passen.
We raden ook aan om, als deze dreiging zich voordoet, op zoek te gaan naar de 2 IP-adressen die Cisco heeft verstrekt en een door Cisco verstrekt commando uit te voeren om te controleren of het implantaat al dan niet op het apparaat is geïnstalleerd:
# curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1" #
(Disclaimer: deze controle werkt alleen als de aanvaller de webserver herstart).
Er zijn ook 3 nieuwe Snort-handtekeningen uitgebracht door de leverancier.
Cisco heeft zijn advies geüpdatet, omdat ze de 0-day kwetsbaarheid voor privilege-escalatie hebben geïdentificeerd die samen met CVE-2023-20198 wordt gebruikt in deze aanval. Deze kwetsbaarheid kreeg een nieuwe CVE-identificatie CVE-2023-20273 en is feitelijk niet gekoppeld aan een oudere kwetsbaarheid (CVE-2021-1435), waarvan aanvankelijk werd aangenomen dat deze werd misbruikt via een nieuw middel. Verder kondigde Cisco aan dat er vanaf 22 oktober geleidelijk patches zullen worden uitgebracht, waarvan de eerste al beschikbaar is (17.9.4a, voor de 17.9-tak). Oudere takken zullen hoogstwaarschijnlijk in de komende dagen worden gerepareerd.
Als workaround kunnen gebruikers de HTTP-serverfunctie uitschakelen op systemen die op internet zijn gericht, waardoor de aanvalsvector wordt verwijderd en inkomende aanvallen worden geblokkeerd. Cisco Talos vraagt gebruikers ook om het commando no ip http server of no ip http secure-server te gebruiken in de globale configuratiemodus. Organisaties moeten ook op zoek gaan naar onverklaarbare of recent aangemaakte gebruikersaccounts als mogelijke indicatoren van kwaadaardige activiteiten in verband met deze bedreiging.
Het Datalake-platform van Orange Cyberdefense biedt toegang tot Indicators of Compromise (IoC's) met betrekking tot deze bedreiging, die automatisch worden ingevoerd in onze Managed Threat Detection-services. Dit maakt proactieve jacht op IoC's mogelijk als je geabonneerd bent op onze Managed Threat Detection-service die Threat Hunting omvat. Als je wilt dat we prioriteit geven aan de aanpak van deze IoC's in je volgende hunt, doe dan een verzoek via het MTD-klantenportal of neem contact op met je vertegenwoordiger.
De DataLake-service van Orange Cyberdefense biedt de mogelijkheid om netwerkgerelateerde IoC's automatisch in je beveiligingsoplossingen in te voeren. Voor meer informatie over deze service en om uit te vinden welke firewall-, proxy- en andere leveranciersoplossingen worden ondersteund, kun je contact opnemen met je Orange Cyberdefense Trusted Solutions-vertegenwoordiger.
Externe links:
Greynoise
https://www.greynoise.io/blog/unpacking-cve-2023-20198-a-critical-weakness-in-cisco-ios-xe
https://www.greynoise.io/blog/unpacking-cve-2023-20198-a-critical-weakness-in-cisco-ios-xe
Cisco
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/