Proof of Concept-code verschenen voor kritieke zeroday in Cisco IOS XE

Cisco waarschuwde twee weken terug voor de kwetsbaarheid CVE-2023-20198 in de web-gebruikersinterface van het besturingssysteem IOS XE. Niet-geauthentiseerde aanvallers kunnen via dit gat zelf een account aanmaken op het systeem, die dan het hoogste toegangsniveau krijgt (15). Aanvallers hebben zo de volledige controle over het getroffen systeem. De fout wordt als zeer kritiek gezien en krijgt een CVSS-score van 10 op een schaal van 10.

Op het moment dat Cisco waarschuwde voor de fout, werd deze ook al misbruikt. Twee weken terug bleken al tienduizenden systemen wereldwijd van een 'implant' voorzien te zijn. 

Dat aantal kan nu dus gemakkelijk snel verder op gaan lopen. Onderzoekers hebben namelijk PoC-code gepubliceerd, waarschuwt het Digital Trust Center. Dit is code die laat zien dat een fout inderdaad te misbruiken is en hoe dan. Dergelijke code kan door aanvallers gebruikt worden om zelf óók het gat te misbruiken. 

Controleer op misbruik

Het advies blijft dan ook om met spoed de beschikbare updates te installeren. Cisco heeft inmiddels updates uitgebracht voor IOS XE v17.6.6, V17.9.4 en sinds vandaag ook voor 17.3.8. Voor versie 17.12.2 volgt op 15 november een update. 

De fout werd echter al misbruikt voor er überhaupt patches beschikbaar zijn. Daarom is het volgens het Digital Trust Center belangrijk om extra waakzaam te zijn op gecompromitteerde systemen.

Wie nog geen update kan installeren - bijvoorbeeld omdat deze nog niet beschikbaar is - wordt geadviseerd de volgende risicobeperkende maatregelen te nemen: 

• Schakel de webbeheerinterface uit op alle op IOS-XE gebaseerde apparaten of zorg dat deze niet via het internet bereikbaar zijn.
• Controleer de configuratie en het bestandssysteem op tekenen van compromittatie.
• Controleer eventuele syslog-berichten op verdachte verkeersstromen.
• Overweeg om de betrokken apparaten opnieuw op te starten aangezien de (mogelijk aangebrachte) webshell niet persistent is.