Cisco waarschuwt voor nieuw actief aangevallen zerodaylek in IOS XE
Cisco waarschuwt voor een nieuw actief aangevallen zerodaylek in IOS XE en heeft een update aankondigd voor een zeroday waarvoor het op 16 oktober waarschuwde. Maandag meldde het netwerkbedrijf dat aanvallers IOS XE-systemen via een kwetsbaarheid aangeduid als CVE-2023-20198 compromitteerden. Een beveiligingsupdate om het probleem te verhelpen is nog altijd niet beschikbaar. Wel een tijdelijke mitigatiemaatregel om aanvallen te voorkomen.
Cisco IOS XE is een besturingssysteem dat op de apparaten van het netwerkbedrijf draait, zoals switches en routers. Via het zerodaylek installeerden de aanvallers een backdoor om toegang te behouden. Volgens securitybedrijf Censys zijn zo'n 42.000 IOS XE-systemen via het beveiligingslek besmet geraakt. Een aantal systemen is inmiddels weer opgeschoond, waardoor de teller nu op 36.500 staat.
Cisco heeft nu een update voor de kwetsbaarheid aangekondigd en het bestaan van een tweede zeroday bekendgemaakt, aangeduid als CVE-2023-20273. Beide kwetsbaarheden worden in combinatie met elkaar gebruikt om systemen aan te vallen. Via CVE-2023-20198 wordt toegang tot IOS XE-systemen verkregen en kan een aanvaller via een 'privilege 15' commando een lokale gebruiker met normale rechten aanmaken.
Vervolgens kan de aanvaller via CVE-2023-20273, aanwezig in de Web UI feature van IOS XE, de rechten van de net aangemaakte gebruiker verhogen naar root en daarna de backdoor installeren. Organisaties worden, onder andere door de Amerikaanse overheid, opgeroepen om de mitigaties door te voeren en de updates, die op 22 oktober beschikbaar komen en beide zerodaylekken verhelpen, zo snel mogelijk te installeren.
Klopt.
Redactie heeft de Cisco advisory net even te kort samengevat .
Uit de advisory:
The attacker then exploited another component of the web UI feature, leveraging the new local user to elevate privilege to root and write the implant to the file system. Cisco has assigned CVE-2023-20273 to this issue.
Dus : webui bug (priv 15) maakt reguliere gebruiker aan (priv 1 ) , deze gebruiker , met ander exploit , wordt 'root' .
(IOS XE is een Linux kernel waarin het 'IOS' proces draait .)
Klopt.
Redactie heeft de Cisco advisory net even te kort samengevat .
Uit de advisory:
The attacker then exploited another component of the web UI feature, leveraging the new local user to elevate privilege to root and write the implant to the file system. Cisco has assigned CVE-2023-20273 to this issue.
Dus : webui bug (priv 15) maakt reguliere gebruiker aan (priv 1 ) , deze gebruiker , met ander exploit , wordt 'root' .
(IOS XE is een Linux kernel waarin het 'IOS' proces draait .)
Je hebt het bij Cisco normaal gesproken niet over een root user voor iemand met priv 15 rechten (kan namelijk nog door AAA, het authorization gedeelte gelimiteerd worden). Dus zouden we het hier wellicht over root rechten hebben van het onderliggende Linux kernel?
Klopt.
Redactie heeft de Cisco advisory net even te kort samengevat .
Uit de advisory:
The attacker then exploited another component of the web UI feature, leveraging the new local user to elevate privilege to root and write the implant to the file system. Cisco has assigned CVE-2023-20273 to this issue.
Dus : webui bug (priv 15) maakt reguliere gebruiker aan (priv 1 ) , deze gebruiker , met ander exploit , wordt 'root' .
(IOS XE is een Linux kernel waarin het 'IOS' proces draait .)
Je hebt het bij Cisco normaal gesproken niet over een root user voor iemand met priv 15 rechten (kan namelijk nog door AAA, het authorization gedeelte gelimiteerd worden). Dus zouden we het hier wellicht over root rechten hebben van het onderliggende Linux kernel?
Dat denk ik ,ja. (ik schreef hetgeen waar je op reageert).
Verder lezend op https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
daaruit
system level, in de context van IOS XE , slaat op het onderliggende Linux systeem.
als dat geen backdoor is, dan weet ik het niet meer..
als dat geen backdoor is, dan weet ik het niet meer..
Doe een cursus begrijpend lezen, en ietsje meer rondklikken in links die hapklaar gegeven zijn.
Die string van 40 karakters is inderdaad een backdoor - die de AANVALLERS installeren als ze BUG exploiten .
Grote hint direct in de quote : het woord 'implant' .
De quote komt direct uit de link erboven, waar de uitgebreide(re) analyse staat van het exploit dat waargenomen wordt.
Het levert natuurlijk diverse Indicators of Compromise op voor je IDS systemen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.