Een Canadees telecombedrijf is afgelopen februari gecompromitteerd via een bekende kwetsbaarheid in Cisco IOS XE waarvoor sinds oktober 2023 beveiligingsupdates beschikbaar zijn. Al voor het uitkomen van de patches wordt er actief misbruik van de kwetsbaarheid gemaakt. Waarom het niet nader genoemde telecombedrijf updates voor een bekend aangevallen lek al anderhalf jaar niet had geïnstalleerd laten het Canadese Centrum voor Cybersecurity en de FBI niet in hun waarschuwing weten (pdf).

Cisco IOS XE is een besturingssysteem dat op switches en routers van het netwerkbedrijf kan draaien en wordt omschreven als een 'nieuwe en verbeterde' versie van Cisco's IOS-besturingssysteem. Een kwetsbaarheid (CVE-2023-20198) in de web user interface van IOS XE maakt het mogelijk voor een ongeauthenticeerde aanvaller om een account met 'privilege 15' aan te maken. Via dit account kan de aanvaller controle over het systeem krijgen. Het probleem raakt zowel fysieke als virtuele devices die IOS XE draaien. De impact van CVE-2023-20198 is op een schaal van 1 tot en met 10 beoordeeld met een 10.0

Via de kwetsbaarheid konden aanvallers drie systemen van het Canadese telecombedrijf compromitteren. Vervolgens werden configuratiebestanden van de apparaten gedownload en van zeker één apparaat aangepast. De aanvallers configureerden een GRE (Generic Routing Encapsulation) tunnel voor het verzamelen van netwerkverkeer van het apparaat. "Een GRE-tunnel is een logische interface op een router die een manier biedt om netwerkprotocolpakketten in een transportprotocol in te kapselen", aldus de uitleg van Cisco.

Volgens de FBI en het Canadese Centrum voor Cybersecurity gaat het om een spionageaanval uitgevoerd door een groep aanvallers genaamd Salt Typhoon. Deze groep zou door de Chinese staat gesteund worden. "Telecomnetwerken behoren tot de belangrijkste spionagedoelwitten voor door staten gesteunde cyberactoren", zo stellen de Amerikaanse en Canadese overheidsdiensten. De aanvallen zouden mogelijk breder zijn dan alleen de telecomsector. De waarschuwing wordt afgesloten met links naar adviezen om netwerkapparaten te beveiligen.