Cisco waarschuwt voor nieuw actief aangevallen zerodaylek in IOS XE
Cisco waarschuwt voor een nieuw actief aangevallen zerodaylek in IOS XE en heeft een update aankondigd voor een zeroday waarvoor het op 16 oktober waarschuwde. Maandag meldde het netwerkbedrijf dat aanvallers IOS XE-systemen via een kwetsbaarheid aangeduid als CVE-2023-20198 compromitteerden. Een beveiligingsupdate om het probleem te verhelpen is nog altijd niet beschikbaar. Wel een tijdelijke mitigatiemaatregel om aanvallen te voorkomen.
Cisco IOS XE is een besturingssysteem dat op de apparaten van het netwerkbedrijf draait, zoals switches en routers. Via het zerodaylek installeerden de aanvallers een backdoor om toegang te behouden. Volgens securitybedrijf Censys zijn zo'n 42.000 IOS XE-systemen via het beveiligingslek besmet geraakt. Een aantal systemen is inmiddels weer opgeschoond, waardoor de teller nu op 36.500 staat.
Cisco heeft nu een update voor de kwetsbaarheid aangekondigd en het bestaan van een tweede zeroday bekendgemaakt, aangeduid als CVE-2023-20273. Beide kwetsbaarheden worden in combinatie met elkaar gebruikt om systemen aan te vallen. Via CVE-2023-20198 wordt toegang tot IOS XE-systemen verkregen en kan een aanvaller via een 'privilege 15' commando een lokale gebruiker met normale rechten aanmaken.
Vervolgens kan de aanvaller via CVE-2023-20273, aanwezig in de Web UI feature van IOS XE, de rechten van de net aangemaakte gebruiker verhogen naar root en daarna de backdoor installeren. Organisaties worden, onder andere door de Amerikaanse overheid, opgeroepen om de mitigaties door te voeren en de updates, die op 22 oktober beschikbaar komen en beide zerodaylekken verhelpen, zo snel mogelijk te installeren.
Klopt.
Redactie heeft de Cisco advisory net even te kort samengevat .
Uit de advisory:
The attacker then exploited another component of the web UI feature, leveraging the new local user to elevate privilege to root and write the implant to the file system. Cisco has assigned CVE-2023-20273 to this issue.
Dus : webui bug (priv 15) maakt reguliere gebruiker aan (priv 1 ) , deze gebruiker , met ander exploit , wordt 'root' .
(IOS XE is een Linux kernel waarin het 'IOS' proces draait .)
Klopt.
Redactie heeft de Cisco advisory net even te kort samengevat .
Uit de advisory:
The attacker then exploited another component of the web UI feature, leveraging the new local user to elevate privilege to root and write the implant to the file system. Cisco has assigned CVE-2023-20273 to this issue.
Dus : webui bug (priv 15) maakt reguliere gebruiker aan (priv 1 ) , deze gebruiker , met ander exploit , wordt 'root' .
(IOS XE is een Linux kernel waarin het 'IOS' proces draait .)
Je hebt het bij Cisco normaal gesproken niet over een root user voor iemand met priv 15 rechten (kan namelijk nog door AAA, het authorization gedeelte gelimiteerd worden). Dus zouden we het hier wellicht over root rechten hebben van het onderliggende Linux kernel?
Klopt.
Redactie heeft de Cisco advisory net even te kort samengevat .
Uit de advisory:
The attacker then exploited another component of the web UI feature, leveraging the new local user to elevate privilege to root and write the implant to the file system. Cisco has assigned CVE-2023-20273 to this issue.
Dus : webui bug (priv 15) maakt reguliere gebruiker aan (priv 1 ) , deze gebruiker , met ander exploit , wordt 'root' .
(IOS XE is een Linux kernel waarin het 'IOS' proces draait .)
Je hebt het bij Cisco normaal gesproken niet over een root user voor iemand met priv 15 rechten (kan namelijk nog door AAA, het authorization gedeelte gelimiteerd worden). Dus zouden we het hier wellicht over root rechten hebben van het onderliggende Linux kernel?
Dat denk ik ,ja. (ik schreef hetgeen waar je op reageert).
Verder lezend op https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
daaruit
system level, in de context van IOS XE , slaat op het onderliggende Linux systeem.
als dat geen backdoor is, dan weet ik het niet meer..
als dat geen backdoor is, dan weet ik het niet meer..
Doe een cursus begrijpend lezen, en ietsje meer rondklikken in links die hapklaar gegeven zijn.
Die string van 40 karakters is inderdaad een backdoor - die de AANVALLERS installeren als ze BUG exploiten .
Grote hint direct in de quote : het woord 'implant' .
De quote komt direct uit de link erboven, waar de uitgebreide(re) analyse staat van het exploit dat waargenomen wordt.
Het levert natuurlijk diverse Indicators of Compromise op voor je IDS systemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
