Wachten op Cisco: tweede 0-day ontdekt, noodpatch nog in de maak
Beheerders van netwerken met Cisco-apparatuur erin maken spannende tijden mee, want de lopende hackaanvallen op die veelgebruikte netwerkhardware blijken niet één maar twee zeroday-gaten te benutten. Dit in plaats van een oudere kwetsbaarheid uit 2021, waarover twijfel ontstond of de toen uitgebrachte patch wel goed werkt. Cisco werkt aan noodpatches voor beide 0-days, maar de schatting van afgelopen zondag is niet gehaald.
Tijdens het onderzoeken van de zerodaykwetsbaarheid (CVE-2023-20198) die afgelopen week aan het licht is gekomen, heeft Cisco de tweede zeroday (CVE-2023-20273) ontdekt. In de praktijk worden er al hackaanvallen uitgevoerd waarbij wereldwijd tienduizendend Cisco-systemen zijn gecompromitteerd. De theorie daarbij was eerst dat de aanvankelijk ontdekte 0-day de aanvallers in staat stelde om diepgaande systeemrechten te verkrijgen.
Andere route van aanvallers
Nu komt Cisco tot de conclusie dat de eerste 0-day 'slechts' een lokaal gebruikersaccount en bijbehorend wachtwoord oplevert. Aanvallers krijgen weliswaar enige diepgaande rechten (privilege op niveau 15), maar kunnen daarmee alleen het commando geven om een nieuw, eigen gebruikersaccount aan te maken. Daarop kunnen ze dan inloggen als een gewone gebruiker, normaliter zonder diepgaande rechten.
Echter, de tweede ontdekte 0-day in de webgebruikersinterface van Cisco's systeemsoftware IOS XE laat de aanvallers hun gewone gebruiker dan 'upgraden' naar root-rechten. Daarmee wordt vervolgens een zogeheten implant geplaatst waarmee de netwerkapparatuur volledig is gecompromitteerd. Cisco legt deze werkmethode uit in een blogpost die afgelopen weekend is bijgewerkt (naar versie 1.4) met deze nieuwe inzichten.
Toch niet via 2021-gat
Aanvankelijk was er nog de theorie dat er bij de lopende aanvallen ook gebruikt is gemaakt van een oudere kwetsbaarheid (CVE-2021-1435). Dat beveiligingsgat stamt uit 2021 en heeft toen een patch gekregen. Door het vermoeden van misbruik nu is er echter twijfel ontstaan over de effectiviteit van die patch, of aan bepaalde configuraties in combinatie met die beveiligingsupdate.
Onderzoekers van Cisco's securitytak Talos concluderen nu echter dat de 2021-kwetsbaarheid niet aan de orde is voor de nu lopende hackaanvallen. Bij de bekendmaking van de tweede zeroday heeft leverancier Cisco de schatting afgegeven dat een patch daarvoor, plus een patch voor de eerste zeroday, op zondag 22 oktober beschikbaar komt. Maandagochtend 23 oktober was er echter nog geen teken daarvan in de Security Advisories van het bedrijf.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonneeVolgens securitybedrijven Onyphe [1] en Censys [2] waren er op het hoogtepunt van de aanvallen respectievelijk 53.000 en 42.000 systemen door aanvallers van een backdoor voorzien.
Inmiddels is dat aantal gedaald naar respectievelijk 5000 en 1200.
Volgens Orange Cyberdefense [3] zijn de aanvallers echter bezig om de toegevoegde backdoor te verbergen. Het is daardoor nog onduidelijk hoeveel systeem erop dit moment nog zijn gecompromitteerd.
Cisco heeft de eerste update beschikbaar gemaakt voor actief aangevallen zerodays in IOS XE [4]
[1] https://twitter.com/onyphe/status/1715633541264900217
[2] https://censys.com/cve-2023-20198-cisco-ios-xe-zeroday/
[3] https://twitter.com/CERTCyberdef/status/1715787627800969374
[4] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z