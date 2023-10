Cisco waarschuwt voor een nieuw actief aangevallen zerodaylek in IOS XE en heeft een update uitgebracht voor een zeroday waarvoor het op 16 oktober waarschuwde. Maandag meldde het netwerkbedrijf dat aanvallers IOS XE-systemen via een kwetsbaarheid aangeduid als CVE-2023-20198 compromitteerden. Een beveiligingsupdate om het probleem te verhelpen was echter nog niet beschikbaar. Wel een tijdelijke mitigatiemaatregel om aanvallen te voorkomen.

Cisco IOS XE is een besturingssysteem dat op de apparaten van het netwerkbedrijf draait, zoals switches en routers. Via het zerodaylek installeerden de aanvallers een backdoor om toegang te behouden. Volgens securitybedrijf Censys zijn zo'n 42.000 IOS XE-systemen via het beveiligingslek besmet geraakt. Een aantal systemen is inmiddels weer opgeschoond, waardoor de teller nu op 36.500 staat.

Cisco heeft nu een update voor de kwetsbaarheid uitgebracht en het bestaan van een tweede zeroday bekendgemaakt, aangeduid als CVE-2023-20273. Beide kwetsbaarheden worden in combinatie met elkaar gebruikt om systemen aan te vallen. Via CVE-2023-20198 wordt toegang tot IOS XE-systemen verkregen en kan een aanvaller een gebruiker met 'privilege 15' aanmaken, wat een normale gebruiker is.

Vervolgens kan de aanvaller via CVE-2023-20273, aanwezig in de Web UI feature van IOS XE, de rechten van de net aangemaakte gebruiker verhogen naar root en daarna de backdoor installeren. Organisaties worden, onder andere door de Amerikaanse overheid, opgeroepen om de beschikbaar gemaakte updates zo snel mogelijk te installeren.