Talos, zespół ds. bezpieczeństwa Cisco, poinformował o odkryciu nowego zeroday w internetowym interfejsie użytkownika oprogramowania IOS XE. To odkrycie stanowi potencjalne zagrożenie zarówno dla fizycznych, jak i wirtualnych systemów, które korzystają z aktywnego serwera HTTP lub HTTPS działającego na platformie IOS XE. Atakujący, po połączeniu się z Internetem lub niewiarygodną siecią, mogą całkowicie przejąć system, tworząc konto o poziomie uprawnień 15.
Najważniejszym aspektem tego zeroday jest fakt, że został nadany identyfikator CVE-2023-20198 i uzyskał maksymalny krytyczny wynik CVSS wynoszący 10, co sugeruje ogromne ryzyko związanego z tą luką. W praktyce oznacza to, że potencjalne konsekwencje ataku są poważne i wymagają natychmiastowej uwagi.
Szybka reakcja Cisco i Talos
Warto zaznaczyć, że Cisco nie pozostawiło użytkowników samych sobie w obliczu tego zagrożenia. Firma opublikowała poradnik, który zawiera wskazówki dotyczące wyłączenia serwerów HTTP/S w systemach, które znajdują się w Internecie. To jedna z pierwszych reakcji na pojawienie się zeroday i dowód na zaangażowanie firmy w rozwiązanie problemu. Warto podkreślić, że ze względu na krytycznie wysoki wynik CVSS, zarówno Talos, jak i Cisco zalecają wszystkim użytkownikom szybkie i pełne przestrzeganie tych zaleceń.
Skonfigurowany atak i zagrożenia
Dotychczasowe przypadki podejrzanej aktywności, związane z wykorzystaniem tej luki, pokazują, że atakujący są bardzo sprawni. Przykłady obejmują tworzenie podejrzanych kont z podejrzanego adresu IP oraz zakładanie pliku konfiguracyjnego. W obu przypadkach atakujący udawali podmiot Cisco, co dodatkowo utrudniało wykrycie ataku. Ponadto, atakujący wykorzystywali inną znaną lukę (CVE-2021-1435), co pokazuje, że byli dobrze przygotowani i zdolni do wykorzystywania wielu zagrożeń w celu osiągnięcia swoich celów.
Rekomendacje od Talos
Talos, zespół ds. bezpieczeństwa Cisco, wyraźnie zaleca organizacjom i firmom, aby dokładnie przeanalizowały swoje systemy w poszukiwaniu nowych lub niewyjaśnionych kont użytkowników. Istnienie takich kont może wskazywać na to, że złośliwe działania są w toku, a atakujący próbują przejąć kontrolę nad systemem.
Zeroday w Cisco IOS XE jest poważnym zagrożeniem dla organizacji i firm korzystających z tego oprogramowania. Reakcja Cisco i Talos na to odkrycie jest szybka i zdecydowana, co jest zrozumiane w kontekście krytycznie wysokiego ryzyka. Jednak ważne jest, aby każda organizacja, która korzysta z IOS XE, podjęła niezbędne kroki w celu zabezpieczenia swoich systemów i monitorowania potencjalnych zagrożeń. Bezpieczeństwo cyfrowe powinno być priorytetem, zwłaszcza w obliczu tak poważnego zagrożenia, jak to zeroday.