کف دست صورت: اکوسیستم سیسکو با یک آسیب پذیری امنیتی جدی دیگر مواجه است. این نقص 0 روزه برای چندین هفته به طور فعال مورد بهره برداری قرار گرفته است. بنابراین بسیار مهم است که مشتریان و مدیران سیستم اقدام فوری انجام دهند. اگرچه انتظار میرود رفع شود، اما تعداد دستگاههای آسیبدیده میتواند دهها هزار باشد.
چه راه بدی برای شروع هفته کاری. روز دوشنبه، سیسکو یک توصیه جدید در مورد یک آسیب پذیری امنیتی که به طور فعال مورد سوء استفاده قرار گرفته است، منتشر کرد. این باگ که بهعنوان CVE-2023-20198 ردیابی میشود، حداکثر سطح تهدید را در CVSS (10.0) به خود اختصاص داده است و آن را به یک آسیبپذیری امنیتی بسیار حیاتی تبدیل میکند.
آسیب پذیری CVE-2023-20198 در عملکرد رابط کاربری وب سیستم عامل شبکه Cisco IOS XE قرار دارد. وقتی ویژگی HTTP یا HTTPS Server فعال است، توصیه Cisco هشدار میدهد که این آسیبپذیری میتواند به یک مهاجم از راه دور احراز هویت نشده اجازه دهد یک حساب کاربری جدید در دستگاه آسیبپذیر با «دسترسی سطح امتیاز 15» ایجاد کند. این در اصل به این معنی است که مهاجم به راحتی می تواند کنترل کامل سیستم آسیب دیده را در دست بگیرد.
بر اساس یک مشاوره تهدید منتشر شده توسط تیم اطلاعاتی Cisco Talos Threat Intelligence، آسیب پذیری CVE-2023-20198 برای حداقل چهار هفته مورد سوء استفاده قرار گرفته است. تحلیلگران “رفتار غیرمعمول” را در دستگاه مشتری کشف کردند که قدمت آن به 18 سپتامبر بازمیگردد. این باگ بر دستگاه های مجازی و فیزیکی که سیسکو IOS را اجرا می کنند تأثیر می گذارد
پس از اینکه یک عامل مخرب دسترسی مجاز به دست آورد، Cisco Talos می گوید که تلاش می کند با ایجاد یک حساب کاربری محلی، جای پایی در سیستم به دست آورد. سپس می توان از این حساب برای کاشت یک اسکریپت مخرب بر اساس زبان برنامه نویسی Lua استفاده کرد و به مجرمان سایبری اجازه می دهد تا هر بار که وب سرور راه اندازی مجدد می شود، دستورات مخرب در سطح سیستم را اجرا کنند. ایمپلنت پس از راه اندازی مجدد باقی نمی ماند، اما حساب کاربری محلی تازه ایجاد شده فعال باقی می ماند.
سیسکو با بهرهبرداری از آسیبپذیری حیاتی CVE-2023-20198 هشدار میدهد که مهاجمان میتوانند آسیبپذیری «متوسط» شناسایی شده با نام CVE-2021-1435 را نیز هدف قرار دهند. اگرچه این نقص دو سال پیش برطرف شد، اما به نظر میرسد که عوامل مخرب توانستهاند دستگاههای کاملاً وصلهشده را به خطر بیاندازند و محمولههای مخرب خود را از طریق یک «مکانیسم نامشخص» جاسازی کنند.
Cisco Talos به طور فعال در حال کار بر روی یک وصله برای مقابله با تهدید CVE-2023-20198 است. در همین حال، این شرکت از مدیران شبکه میخواهد که تجهیزات سیسکو خود را برای نشانههایی از سازش، مانند وجود حسابهای کاربری ناشناخته و تازه ایجاد شده، بررسی کنند. سیسکو همچنین توصیه میکند که سرورهای HTTP و HTTPS در سیستمهای متصل به اینترنت مطابق با شیوههای استاندارد امنیتی عملیاتی صنعت (OPSEC) غیرفعال شوند.