Al zeker 10.000 Cisco-apparaten gehackt via kritiek zeroday-gat

De aanvallers komen binnen via de kwetsbaarheid CVE-2023-20198 in de webinterface van Cisco IOS XE. Voor die kritieke kwetsbaarheid hebben leverancier Cisco als ook het Nederlandse NCSC (Nationaal Cyber Security Centrum) eerder deze week een waarschuwing afgegeven. Een aanvaller kan via dit zero-day gat zelf een account aanmaken op het systeem, waarbij die kwaadwillende dan het hoogste toegangsniveau (level 15) heeft. Daarmee krijgt de aanvaller volledige controle over het getroffen systeem.

De kwetsbaarheid kan niet alleen veel schade veroorzaken, maar de kans op misbruik wordt ook als erg groot ingeschat. Daarom krijgt dit gat de hoogste score wat betreft de ernst van de zaak: 10 op een schaal van 10.

80.000 apparaten kwetsbaar

Dat er een grote kans op misbruik is, wordt in de praktijk bevestigd. Uit een scan van VulnCheck naar Cisco IOS XE webinterfaces komen meer dan 10.000 Cisco-apparaten naar voren die zijn voorzien van een 'implant', zo vertellen onderzoekers aan Ars Technica. Volgens VulnCheck-CTO Jacob Baines kunnen aanvallers daarmee waarschijnlijk internetverkeer monitoren, beschermde netwerken binnenkomen en allerlei man-in-the-middle-aanvallen uitvoeren.

Het daadwerkelijke aantal getroffen apparaten kan bovendien nog veel hoger liggen. Het bedrijf zegt namelijk dat het nog maar de helft heeft gescand van alle apparaten die in Shodan en Censys zijn opgenomen. Via die gespecialiseerde zoekmachines kan gezocht worden naar apparaten die met het internet verbonden zijn. Via Shodan waren maandag zeker 80.000 apparaten te vinden die mogelijk kwetsbaar zijn voor dit grote gat, aldus Ars Technica.

Eerdere patch werkt niet meer?

Opvallend is dat de implant in kwestie via een tweetrapsaanval geplaatst lijkt te worden, merken onderzoekers van Cisco's eigen securitytak Talos op in een blog. De onderzoekers hebben gezien dat een aanvaller binnenkomt via de nieuwe kwetsbaarheid, maar vervolgens een oudere fout - CVE-2021-1435 - misbruikt om de implant te installeren.

Die fout werd in 2021 al voorzien van een patch, maar mogelijk is deze niet afdoende. De Talos-onderzoekers hebben namelijk ook gezien dat apparaten die de patch van eervorig jaar geïnstalleerd hebben alsnog voorzien werden van een implant, via een "vooralsnog onbepaald mechanisme".

De implant zelf is gebaseerd op de programmeertaal Lua en bestaat uit slechts 29 regels code. Met dat bescheiden stukje software kunnen aanvallers vervolgens op afstand commando's uitvoeren op de gehackte netwerkapparaten van de marktdominante leverancier Cisco.

Wat nu?

Vooralsnog is er geen patch beschikbaar voor de nieuw gevonden kwetsbaarheid. Wel heeft Cisco een aantal risicobeperkende maatregelen aanbevolen:

• Schakel de webbeheerinterface uit op alle op IOS-XE gebaseerde apparaten of zorg dat deze niet via het internet bereikbaar zijn.
• Controleer de configuratie en het bestandssysteem op tekenen van compromittatie.
• Controleer eventuele syslog-berichten op verdachte verkeersstromen.
• Overweeg om de betrokken apparaten opnieuw op te starten aangezien de (mogelijk aangebrachte) webshell niet persistent is.

VulnCheck heeft daarnaast zijn scanner waarmee het systemen opspoort die zijn voorzien van een implant gedeeld op GitHub. Organisaties die een IOS XE-systeem gebruiken, kunnen aan de hand van die tool dus zelf controleren of zij slachtoffer zijn geworden van deze ernstige hackaanval. 

Update 19-10: Het DIVD meldt dat de cijfers van VulnCheck alweer verouderd zijn. Volgens het DIVD zijn wereldwijd zeker 46.000 apparaten van implants voorzien. In Nederland ging het gistermiddag om zeker 800, maar dat aantal groeit ieder uur.