Cisco روز صفرهای  IOS XE را وصله‌ کرد

Cisco دو آسیب‌پذیری به شناسه‌های CVE-2023-20198 (CVSS 10.0) و  (CVSS 7.2) CVE-2023-20273  را که نفوذگران برای به خطر انداختن ده‌ها هزار دستگاه IOS XE اخیرا مورد سوء استفاده قرار دادند، برطرف کرد.

انتشار نرم‌افزار رایگان پس از آن صورت گرفت که عامل تهدید نقایص امنیتی را به عنوان روز صفر و به منظور به خطر انداختن و کنترل کامل بیش از 50.000 میزبان Cisco IOS XE مورد استفاده قرار داد. Cisco در بیانیه نخست گفت: اولین نسخه نرم‌افزار وصله شده از مرکز دانلود نرم‌افزار این شرکت در دسترس است. در حال حاضر، اولین نسخه وصله شده موجود 17.9.4a است و ‫تا زمان انتشار این متن همچنان آپدیت ارائه نشده است.

هر دو آسیب‌پذیری که Cisco آنها را با نام CSCwh87343 ردیابی می‌کند، در رابط کاربری وب (web UI) دستگاه‌های Cisco که نرم‌افزار IOS XE را اجرا می‌کنند، وجود دارد. آسیب‌پذیری CVE-2023-20198 دارای حداکثر شدت (بحرانی) و امتیاز 10 است و آسیب‌پذیری CVE-2023-20273 دارای  شدت بالا و امتیاز 7.2 است.

به گفته این سازنده تجهیزات شبکه، عامل تهدید از نقص حیاتی برای دسترسی اولیه به دستگاه سوء استفاده کرده و سپس سطح دسترسی کاربر محلی را تا سطح دسترسی 15 (بالاترین سطح دسترسی ممکن) افزایش می‌دهد (privilege meaning). در دستگاه‌های Cisco، مجوزهای صدور فرمان در سطوح صفر تا 15 قفل می‌شوند. سطح دسترسی صفر پنج فرمان اصلی (“logout,” “enable,” “disable,” “help,” و “exit”) را ارائه می‌کند و 15 بیشترین سطح فرمان را دارد. سطح ممتازی که کنترل کامل بر دستگاه را فراهم می‌کند.

با استفاده از نقص CVE-2023-20273، مهاجم سطح دسترسی کاربر محلی جدید را برای به بالاترین سطح دسترسی ممکن (root) ارتقا داده و یک اسکریپت مخرب را به سیستم فایل می‌افزاید. ایمپلنت مکانیزم بقا ایجاد نمی‌کند و راه‌اندازی مجدد آن را از سیستم حذف می‌کند.

✔️ این شرکت هشدار داد که در صورت فعال بودن ویژگی web UI (HTTP Server) دستگاه، می‌توان از این دو آسیب‌پذیری سوء استفاده کرد که از طریق فرمان‌های ip http server یا  ip http secure-server امکان‌پذیر است. ادمین‌ها می‌توانند با اجرای show running-config فعال بودن این ویژگی را بررسی کنند، فرمان ip http server|secure|active را برای بررسی پیکربندی سراسری ip http server یا فرمان‌های ip http safe-server را وارد کنند.

به گفته Cisco  “وجود هر یک از فرمان‌ها یا هر دو فرمان در پیکربندی سیستم نشان‌دهنده فعال بودن ویژگی وب UI است.”

کاهش ناگهانی هاست‌های هک شده Cisco IOS XE

هنگامی که Cisco در ۱۶ اکتبر (۲۴ مهر)، آسیب‌پذیری CVE-2023-20198 را به عنوان روز صفری معرفی کرد که مورد سوء استفاده قرار می‌گیرد، محققان امنیتی شروع به جستجوی دستگاه‌های در معرض خطر کردند. یافته‌های اولیه آنها بیانگر آلودگی حدود 10000 دستگاه آسیب‌پذیر Cisco IOS XE بود.

این تعداد به سرعت در عرض چند روز به بیش از ۴۰.۰۰۰ افزایش یافت. Cisco در ۲۰ اکتبر (۲۸ مهر)، دومین روز صفر را فاش کرد که در همان کمپین برای در دست گرفتن کنترل کامل سیستم‌هایی که نرم‌افزار IOS XE را اجرا می‌کنند، مورد سوء استفاده قرار گرفته است. با این حال محققان، شاهد کاهش شدید تعداد هاست‌های Cisco IOS XE از حدود 60.000 به چند صد دستگاه بودند که با استفاده از دو آسیب‌پذیری روز صفر هک شدند.

به نظر می‌رسد که مهاجم یک به‌ روزرسانی را برای پنهان کردن حضور خود به کار گرفته تا ایمپلنت‌های مخرب دیگر در اسکن‌ها قابل مشاهده نباشند. در واقع دلیل افت ناگهانی مذکور می‌تواند این باشد که یک نفوذگر کلاه خاکستری به طور خودکار دستگاه‌های آلوده را راه‌اندازی مجدد می‌کند تا ایمپلنت مخرب را حذف کند.

به گفته Fox-IT، کد مخرب ده‌ها هزار دستگاه «برای بررسی مقدار هِدر HTTP مجوز قبل از پاسخ‌دهی تغییر یافته است» و استفاده از روشی متفاوت نشان می‌دهد که 37.890 دستگاه هنوز در معرض خطر هستند.

محققان به ادمین‌های سیستم‌ IOS XE که دارای رابط کاربری وب در اینترنت هستند، توصیه کردند که یک تریاژ فارنزیک انجام دهند و یک مخزن شامل اقدامات لازم برای بررسی اینکه آیا ایمپلنت روی میزبان فعال بوده است تهیه کنند.

📢 به‌روزرسانی:

Cisco  در ۳۰ اکتبر (۸ آبان) ، با به روزرسانی بولتن امنیتی خود برای آسیب‌پذیری CVE-2023-20198، به روز رسانی‌هایی را برای IOS XE منتشر کرد که آسیب‌پذیری را برطرف می‌سازد. در حال حاضر نسخه 17.3 این نرم‌افزار تنها نسخه‌ای است که هنوز تحت تأثیر نقص امنیتی یاد شده قرار دارد و نسخه جدیدی هنوز در دسترس نیست. Cisco همچنین در به روزرسانی‌های نگهداری نرم‌افزار (SMUs) به این مشکل پرداخته است.

📌 نسخه‌های جدید نرم‌افزار از مرکز دانلود نرم افزار این شرکت در دسترس هستند.