Cisco درباره آسیب‌پذیری حیاتی در دستگاه‌های شبکه مبتنی بر IOS XE هشدار می‌دهد

کف دست صورت: اکوسیستم سیسکو با یک آسیب پذیری امنیتی جدی دیگر مواجه است. این نقص 0 روزه برای چندین هفته به طور فعال مورد بهره برداری قرار گرفته است. بنابراین بسیار مهم است که مشتریان و مدیران سیستم اقدام فوری انجام دهند. اگرچه انتظار می‌رود رفع شود، اما تعداد دستگاه‌های آسیب‌دیده می‌تواند ده‌ها هزار باشد.

چه راه بدی برای شروع هفته کاری. روز دوشنبه، سیسکو یک توصیه جدید در مورد یک آسیب پذیری امنیتی که به طور فعال مورد سوء استفاده قرار گرفته است، منتشر کرد. این باگ که به‌عنوان CVE-2023-20198 ردیابی می‌شود، حداکثر سطح تهدید را در CVSS (10.0) به خود اختصاص داده است و آن را به یک آسیب‌پذیری امنیتی بسیار حیاتی تبدیل می‌کند.

آسیب پذیری CVE-2023-20198 در عملکرد رابط کاربری وب سیستم عامل شبکه Cisco IOS XE قرار دارد. وقتی ویژگی HTTP یا HTTPS Server فعال است، توصیه Cisco هشدار می‌دهد که این آسیب‌پذیری می‌تواند به یک مهاجم از راه دور احراز هویت نشده اجازه دهد یک حساب کاربری جدید در دستگاه آسیب‌پذیر با «دسترسی سطح امتیاز 15» ایجاد کند. این در اصل به این معنی است که مهاجم به راحتی می تواند کنترل کامل سیستم آسیب دیده را در دست بگیرد.

بر اساس یک مشاوره تهدید منتشر شده توسط تیم اطلاعاتی Cisco Talos Threat Intelligence، آسیب پذیری CVE-2023-20198 برای حداقل چهار هفته مورد سوء استفاده قرار گرفته است. تحلیلگران “رفتار غیرمعمول” را در دستگاه مشتری کشف کردند که قدمت آن به 18 سپتامبر بازمی‌گردد. این باگ بر دستگاه های مجازی و فیزیکی که سیسکو IOS را اجرا می کنند تأثیر می گذارد

پس از اینکه یک عامل مخرب دسترسی مجاز به دست آورد، Cisco Talos می گوید که تلاش می کند با ایجاد یک حساب کاربری محلی، جای پایی در سیستم به دست آورد. سپس می توان از این حساب برای کاشت یک اسکریپت مخرب بر اساس زبان برنامه نویسی Lua استفاده کرد و به مجرمان سایبری اجازه می دهد تا هر بار که وب سرور راه اندازی مجدد می شود، دستورات مخرب در سطح سیستم را اجرا کنند. ایمپلنت پس از راه اندازی مجدد باقی نمی ماند، اما حساب کاربری محلی تازه ایجاد شده فعال باقی می ماند.

سیسکو با بهره‌برداری از آسیب‌پذیری حیاتی CVE-2023-20198 هشدار می‌دهد که مهاجمان می‌توانند آسیب‌پذیری «متوسط» شناسایی شده با نام CVE-2021-1435 را نیز هدف قرار دهند. اگرچه این نقص دو سال پیش برطرف شد، اما به نظر می‌رسد که عوامل مخرب توانسته‌اند دستگاه‌های کاملاً وصله‌شده را به خطر بیاندازند و محموله‌های مخرب خود را از طریق یک «مکانیسم نامشخص» جاسازی کنند.

Cisco Talos به طور فعال در حال کار بر روی یک وصله برای مقابله با تهدید CVE-2023-20198 است. در همین حال، این شرکت از مدیران شبکه می‌خواهد که تجهیزات سیسکو خود را برای نشانه‌هایی از سازش، مانند وجود حساب‌های کاربری ناشناخته و تازه ایجاد شده، بررسی کنند. سیسکو همچنین توصیه می‌کند که سرورهای HTTP و HTTPS در سیستم‌های متصل به اینترنت مطابق با شیوه‌های استاندارد امنیتی عملیاتی صنعت (OPSEC) غیرفعال شوند.