Cisco دو آسیبپذیری به شناسههای CVE-2023-20198 (CVSS 10.0) و (CVSS 7.2) CVE-2023-20273 را که نفوذگران برای به خطر انداختن دهها هزار دستگاه IOS XE اخیرا مورد سوء استفاده قرار دادند، برطرف کرد.
انتشار نرمافزار رایگان پس از آن صورت گرفت که عامل تهدید نقایص امنیتی را به عنوان روز صفر و به منظور به خطر انداختن و کنترل کامل بیش از 50.000 میزبان Cisco IOS XE مورد استفاده قرار داد. Cisco در بیانیه نخست گفت: اولین نسخه نرمافزار وصله شده از مرکز دانلود نرمافزار این شرکت در دسترس است. در حال حاضر، اولین نسخه وصله شده موجود 17.9.4a است و تا زمان انتشار این متن همچنان آپدیت ارائه نشده است.
هر دو آسیبپذیری که Cisco آنها را با نام CSCwh87343 ردیابی میکند، در رابط کاربری وب (web UI) دستگاههای Cisco که نرمافزار IOS XE را اجرا میکنند، وجود دارد. آسیبپذیری CVE-2023-20198 دارای حداکثر شدت (بحرانی) و امتیاز 10 است و آسیبپذیری CVE-2023-20273 دارای شدت بالا و امتیاز 7.2 است.
به گفته این سازنده تجهیزات شبکه، عامل تهدید از نقص حیاتی برای دسترسی اولیه به دستگاه سوء استفاده کرده و سپس سطح دسترسی کاربر محلی را تا سطح دسترسی 15 (بالاترین سطح دسترسی ممکن) افزایش میدهد (privilege meaning). در دستگاههای Cisco، مجوزهای صدور فرمان در سطوح صفر تا 15 قفل میشوند. سطح دسترسی صفر پنج فرمان اصلی (“logout,” “enable,” “disable,” “help,” و “exit”) را ارائه میکند و 15 بیشترین سطح فرمان را دارد. سطح ممتازی که کنترل کامل بر دستگاه را فراهم میکند.
با استفاده از نقص CVE-2023-20273، مهاجم سطح دسترسی کاربر محلی جدید را برای به بالاترین سطح دسترسی ممکن (root) ارتقا داده و یک اسکریپت مخرب را به سیستم فایل میافزاید. ایمپلنت مکانیزم بقا ایجاد نمیکند و راهاندازی مجدد آن را از سیستم حذف میکند.
✔️ این شرکت هشدار داد که در صورت فعال بودن ویژگی web UI (HTTP Server) دستگاه، میتوان از این دو آسیبپذیری سوء استفاده کرد که از طریق فرمانهای ip http server یا ip http secure-server امکانپذیر است. ادمینها میتوانند با اجرای show running-config فعال بودن این ویژگی را بررسی کنند، فرمان ip http server|secure|active را برای بررسی پیکربندی سراسری ip http server یا فرمانهای ip http safe-server را وارد کنند.
به گفته Cisco “وجود هر یک از فرمانها یا هر دو فرمان در پیکربندی سیستم نشاندهنده فعال بودن ویژگی وب UI است.”
کاهش ناگهانی هاستهای هک شده Cisco IOS XE
هنگامی که Cisco در ۱۶ اکتبر (۲۴ مهر)، آسیبپذیری CVE-2023-20198 را به عنوان روز صفری معرفی کرد که مورد سوء استفاده قرار میگیرد، محققان امنیتی شروع به جستجوی دستگاههای در معرض خطر کردند. یافتههای اولیه آنها بیانگر آلودگی حدود 10000 دستگاه آسیبپذیر Cisco IOS XE بود.
این تعداد به سرعت در عرض چند روز به بیش از ۴۰.۰۰۰ افزایش یافت. Cisco در ۲۰ اکتبر (۲۸ مهر)، دومین روز صفر را فاش کرد که در همان کمپین برای در دست گرفتن کنترل کامل سیستمهایی که نرمافزار IOS XE را اجرا میکنند، مورد سوء استفاده قرار گرفته است. با این حال محققان، شاهد کاهش شدید تعداد هاستهای Cisco IOS XE از حدود 60.000 به چند صد دستگاه بودند که با استفاده از دو آسیبپذیری روز صفر هک شدند.
به نظر میرسد که مهاجم یک به روزرسانی را برای پنهان کردن حضور خود به کار گرفته تا ایمپلنتهای مخرب دیگر در اسکنها قابل مشاهده نباشند. در واقع دلیل افت ناگهانی مذکور میتواند این باشد که یک نفوذگر کلاه خاکستری به طور خودکار دستگاههای آلوده را راهاندازی مجدد میکند تا ایمپلنت مخرب را حذف کند.
به گفته Fox-IT، کد مخرب دهها هزار دستگاه «برای بررسی مقدار هِدر HTTP مجوز قبل از پاسخدهی تغییر یافته است» و استفاده از روشی متفاوت نشان میدهد که 37.890 دستگاه هنوز در معرض خطر هستند.
محققان به ادمینهای سیستم IOS XE که دارای رابط کاربری وب در اینترنت هستند، توصیه کردند که یک تریاژ فارنزیک انجام دهند و یک مخزن شامل اقدامات لازم برای بررسی اینکه آیا ایمپلنت روی میزبان فعال بوده است تهیه کنند.
📢 بهروزرسانی:
Cisco در ۳۰ اکتبر (۸ آبان) ، با به روزرسانی بولتن امنیتی خود برای آسیبپذیری CVE-2023-20198، به روز رسانیهایی را برای IOS XE منتشر کرد که آسیبپذیری را برطرف میسازد. در حال حاضر نسخه 17.3 این نرمافزار تنها نسخهای است که هنوز تحت تأثیر نقص امنیتی یاد شده قرار دارد و نسخه جدیدی هنوز در دسترس نیست. Cisco همچنین در به روزرسانیهای نگهداری نرمافزار (SMUs) به این مشکل پرداخته است.
📌 نسخههای جدید نرمافزار از مرکز دانلود نرم افزار این شرکت در دسترس هستند.
