CIsco IOS XE

2023

Cisco исправила опасные уязвимости, но хакеры успели захватить около 400 устройств в России

По данным различных исследователей безопасности уязвимость в веб-интерфейсе устройств Cisco (BDU:2023-06875) уже активно эксплуатируется с 28 сентября. Причем в процессе расследования инцидентов, связанных с эксплуатацией этой уязвимости, была обнаружена и другая неизвестная ошибка, которая позволяет поднять полномочия на устройстве до административных – теперь она получила индекс CVE-2023-20273. В результате использования цепочки этих уязвимостей в операционную системы маршрутизаторов и коммутаторов Cisco по всему миру были внедрены импланты, которые позволяют удаленно управлять ими с помощью программ на языке Lua.

Компания Cisco опубликовала 23 октября исправления для своего продукта Cisco IOS XE, которое исправляет обе уязвимости и не даст эксплуатировать их в дальнейшем. Причем обновлением исправляется как первая уязвимость (BDU:2023-06875), так и вторая (CVE-2023-20273). Для российских компания установки этих исправлений рекомендуется, но только после тщательной проверки на безопасность. Впрочем, и после установки исправлений стоит все-таки полностью изучить конфигурацию устройств на предмет их безопасности и отсутствия посторонних учетных записей с правами администраторов. Только после этого можно будет обратно включать веб-интерфейс управления для устройств.

Впрочем, 23 октября появились сведения о еще одной уязвимости (она получила номер CVE-2023-20109) в том же продукте – в модуле Group Encrypted Transport VPN (GET VPN). Новая уязвимость также позволяет поднять полномочия в системе, то есть может быть использована вместо второй уязвимости CVE-2023-20273. Она имеет средний уровень опасности, и для нее уже разработана заплатка. Но похоже, что злоумышленники начали пристально исследовать Cisco IOS и IOS XE, поскольку они дают им хороший шанс добиться успеха, поэтому вероятно в ближайшем будущем появятся и другие уязвимости в соответствующем ПО.

Карта заражения эксплойтом уязвимости в Сisco IOS XE, Censys

Об успешной эксплуатации уязвимости BDU:2023-06875 также говорят и опубликованные ранее цифры обнаруженных уязвимых систем. Причем уязвимые устройства есть в том числе и в России.

В Рунете наблюдается более тысячи уязвимых узлов, – рассказал TAdviser Сергей Гордейчик, генеральный директор компании «СайберОК». – На 17 октября наблюдалось чуть менее 500 устройств с установленным имплантом. После смены злоумышленниками схемы авторизации, на 24 октября наблюдается чуть менее 400 устройств с установленным имплантом.

Центр отслеживания киберинцидентов ФСБ выпустил рекомендации, как защититься от взлома через дыру в оборудовании Cisco

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) 18 октября разослал предупреждение об обнаружении опасной уязвимости в веб-интерфейсе операционной системы Cisco IOS XE (BDU:2023-06875, CVE-2023-20198), которая связана с ошибками при управлении привилегиями. По данным Центра эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии путём создания новой учётной записи администратора. По классификации CVSS эта уязвимость получала оценку 10 из 10, что означает ее лёгкое и удаленное исполнение, отсутствие необходимости взаимодействовать с пользователем и возможность исполнять свой код на уязвимом устройстве.

Опасность уязвимости в том, что маршрутизаторы и коммутаторы Cisco – это в основном корпоративные устройства, которые тем не менее могут быть доступны с помощью веб-запросов извне. Ситуация усугубляется ещё и тем, что полноценного исправления уязвимости нет, хотя НКЦКИ выпустил рекомендации по снижению возможности ее эксплуатации - отключения уязвимого веб-интерфейса. Центр настоятельно рекомендует владельцам оборудования Cisco в самом ближайшем времени выполнить следующие действия:

• проверить устройства на наличие уязвимости (команда подаётся с рабочей станции, имеющей доступ к уязвимой системе; systemip – это IP-адрес проверяемой системы): «curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"»
• отключить функции HTTP или HTTPS-сервера путём выполнения следующих команд в операционной системе коммутаторов и маршрутизаторов: «no ip http server» и «no ip http secure-server» (в режиме глобальной конфигурации);
• использовать системы обнаружения и предотвращения вторжений для отслеживания индикаторов компрометации и появления новых пользователей с правами администраторов;
• применять для организации удаленного доступа технологию виртуальных частных сетей (VPN).
• настроить средства межсетевого экранирования уровня веб-приложений на ограничение возможности удалённого доступа к уязвимому веб-интерфейсу;
• ограничить доступ из внешних сетей к устройствам Cisco.

В современных условиях подобная уязвимость привлекла повышенное внимание хакеров, что спровоцировало ее активную эксплуатацию по всему миру. При этом количество уязвимых устройств по всему миру оказалось достаточно большим. Так к утру пятницы, 20 октября поисковая система компании Censys, настроенная на поиск уязвимых устройств практически по рекомендациям НКЦКИ, обнаружила 42 тыс. уязвимых устройств, доступных из Интернет. Уже к вечеру 20 октября количество уязвимых устройств увеличилось до 62 тыс., однако к 23 октября – уменьшилось до 52,6 тыс. Видимо, администраторы начали активно выключать уязвимый веб-интерфейс, чтобы им не могли воспользоваться злоумышленники. Лидерами по количеству доступных уязвимых устройств стали США (7,5 тыс. устройств), Чили (3,8 тыс.) и Мексика (3,5 тыс.). Россия по количеству доступных из Интернет не входит в двадцатку лидеров, то есть количество уязвимых устройств в нашей стране не превышает 600.

Признание существование критической дыры, просьба пользователей отключить оборудование

16 октября 2023 года компания Cisco сообщила об обнаружении критической дыры в своей операционной системе IOS XE, которая используется на различных сетевых устройствах. Брешь активно эксплуатируется злоумышленниками, а исправления для нее по состоянию на указанную дату не существует.

Уязвимость (CVE-2023-20198) получила максимальный рейтинг опасности — 10 баллов (CVSS). Дыра позволяет удаленному киберпреступнику, не прошедшему аутентификацию, создать на устройстве учетную запись с уровнем привилегий 15, что фактически предоставляет ему полный контроль над скомпрометированной системой. Затем злоумышленник может использовать эту учетную запись для выполнения различных деструктивных и злонамеренных операций.

Cisco сообщила об обнаружении критической дыры в своей IOS XE

Проведенное расследование показало, что первые атаки через обнаруженную уязвимость датируются 18 сентября 2023 года. Схема вторжения предусматривает применение специального вредоносного имплантата на языке программирования Lua, но механизм его внедрения в систему по состоянию на 17 октября 2023 года до конца не определен. Проблема актуальна для всех устройств на базе Cisco IOS XE, на которых включена функция веб-интерфейса.

Учитывая, что исправлений или обходных путей для устранения дыры не существует, Cisco рекомендует пользователям оборудования под управлением IOS XE отключить функцию HTTP-сервера на всех устройствах с интернет-подключением. По оценкам, в глобальном масштабе атакам подвержены до 80 тыс. различных сетевых устройств производства Cisco.

Cisco не предоставила список затронутых устройств, а это означает, что любой коммутатор, маршрутизатор или контроллер WLC (Wireless LAN Controller), работающий под управлением IOS XE и имеющий веб-интерфейс, уязвим, — отмечает Маюреш Дэни (Mayuresh Dani), специалист по исследованию угроз безопасности компании Qualys.[1]

Примечания