Zeer kritieke fout gevonden in Cisco-software, wordt al actief misbruikt

De kwetsbaarheid in kwestie is CVE-2023-20198 en zit in de web-gebruikersinterface van het Cisco besturingssysteem IOS XE. Via de fout kan een niet-geauthentiseerde aanvaller zelf een account aanmaken op het systeem met het hoogste toegangsniveau (15). Daarmee kan de aanvaller de volledige controle krijgen over het getroffen systeem. 

Zowel Cisco als het Nederlandse NCSC beschouwen de kwetsbaarheid als zeer kritiek. De fout krijgt dan ook een CVSS-score van 10 op een schaal van 10, en het NCSC beoordeelt het als High/High. Concreet betekent dit dat de kans op schade én de kans op misbruik zeer groot is. Cisco zegt zelfs dat de fout al actief misbruikt wordt.

Beperkende maatregelen

Een patch waarmee de problemen worden opgelost, is nog niet beschikbaar. Wel beveelt Cisco een aantal risicobeperkende maatregelen aan:

• Schakel de webbeheerinterface uit op alle op IOS-XE gebaseerde apparaten of zorg dat deze niet via het internet bereikbaar zijn.
• Controleer de configuratie en het bestandssysteem op tekenen van compromittatie.
• Controleer eventuele syslog-berichten op verdachte verkeersstromen.
• Overweeg om de betrokken apparaten opnieuw op te starten aangezien de (mogelijk aangebrachte) webshell niet persistent is.

Het NCSC, Digital Trust Center en Cisco adviseren de maatregelen zo snel mogelijk uit te voeren.