CVE-2023-20198 Erkennung: Cisco IOS XE Zero-Day-Schwachstelle wird aktiv ausgenutzt, um Implantate zu installieren

Hart auf den Fersen einer neuen Welle in der langjährigen Balada Injector-Kampagne die CVE-2023-3169 ausnutzt, rückt ein weiterer kritischer Sicherheitsfehler in beliebten Softwareprodukten ins Rampenlicht. Eine neue Schwachstelle zur Privilegieneskalation, die die Cisco IOS XE-Software betrifft, wird aktiv ausgenutzt, um Implantate auf den betroffenen Geräten zu installieren.

Die entdeckte Zero-Day-Schwachstelle, bekannt als CVE-2023-20198, ermöglicht es entfernten und nicht authentifizierten Angreifern, ein Account mit höheren Berechtigungen auf einem kompromittierten System zu generieren. Während der Patch derzeit nicht verfügbar ist, stellt CVE-2023-20198 schwerwiegende Sicherheitsrisiken für potenziell gehackte Instanzen dar. 

Erkennung von CVE-2023-20198-Ausnutzungsversuchen

In der sich schnell entwickelnden Bedrohungslandschaft von heute, die von einem unermüdlichen Anstieg ausgenutzter Schwachstellen in geschäftsbezogenen Anwendungen geprägt ist und zunehmend von Angreifern genutzt wird, um die Abwehr der organisatorischen Infrastruktur zu durchbrechen, ist ein proaktiver und agiler Ansatz zur Bedrohungserkennung erforderlich. Die SOC Prime-Plattform bietet eine Reihe robuster Cybersicherheitswerkzeuge, die darauf zugeschnitten sind, die Cyberabwehrfähigkeiten und Effizienz von SOC-Teams zu verbessern.

Tauchen Sie ein in die Welt der Bedrohungsinformationen in Echtzeit, um emerging threats immer einen Schritt voraus zu sein, mit dem weltweit schnellsten Feed zu den neuesten Taktiken, Techniken und Verfahren (TTPs), die von Gegnern genutzt werden. Um Ihre Abwehr gegen potenzielle CVE-2023-20198-Ausnutzungsversuche zu stärken, bietet SOC Prime eine kuratierte Sigma-Regel an, die hilft, verwandte verdächtige Webanfragemuster zu identifizieren, die mit dem bösartigen internen Implantat oder einem internen Angreifer in Verbindung stehen könnten, der versucht, die Schwachstelle in der Umgebung auszunutzen. Der Nachweis ist dem MITRE ATT&CK® Framework zugeordnet und mit umfangreichen Metadaten versehen, um die Untersuchung zu erleichtern.

Mögliche CVE-2023-20198 (Cisco IOS XE Software Web-UI Privilegieneskalations-Schwachstelle) Ausnutzungsmuster (über Proxy)

Die Regel unterstützt 18 SIEM-, EDR-, XDR- und Data Lake-Technologien und behandelt die Taktik der lateralen Bewegung mit der Technik der Ausnutzung von Remote-Services (T1210).

Um die Bedrohungsuntersuchung zu fördern, können SOC Prime-Nutzer auch eine Sigma-Regel nutzen, die hilft, mögliche CVE-2023-20198-Ausnutzungsversuche zu erkennen, indem verdächtige Konten auf dem Gerät identifiziert werden (siehe die Liste der vom Gerätehersteller bereitgestellten IOCs). Ein Teil dieser Regel sollte vom Endanwender entsprechend aktualisiert werden, um alle legitimen Konten auszuschließen, die bereits existieren und für administrative Aktivitäten verwendet werden (Platzhalter sind platzhalter_fuer_legitimes_konto1, platzhalter_fuer_legitimes_konto2, usw.).

Mögliche CVE-2023-20198 (Cisco IOS XE Software Web-UI Privilegieneskalations-Schwachstelle) Ausnutzungsmuster (über Schlüsselwörter)

Die Regel ist mit xx Sicherheitsanalyselösungen kompatibel und dem MITRE ATT&CK zugeordnet, das die Taktiken des ersten Zugangs und der lateralen Bewegung mit der Ausnutzung öffentlicher Anwendungen (T1190) und der Ausnutzung von Remote-Services (T1210) behandelt.

Um das gesamte Erkennungs-Stack für neu aufkommende und kritische Schwachstellen zu erkunden, drücken Sie die Erkennungen erkunden Schaltfläche unten. Alle Regeln sind mit umfangreichem Kontext zu Cyber-Bedrohungen und CTI versehen, um die Bedrohungsuntersuchung zu fördern.

Erkennungen erkunden

CVE-2023-20198-Analyse

Cisco hat kürzlich eine Sicherheitsberatung herausgegeben, die die aktive Ausnutzung einer zuvor unbekannten Zero-Day-Schwachstelle bestätigt, die als CVE-2023-20198 bezeichnet wird. Die in der entsprechenden Sicherheitsmitteilung bereitgestellten Empfehlungen entsprechen den etablierten Best Practices und halten sich an die Cybersicherheitsdirektive , die zuvor von der US-Regierung zur Risikominderung für die internet-exponierten Managementschnittstellen herausgegeben wurde.

Der neu entdeckte Sicherheitsfehler betrifft das Web-UI-Feature der Cisco IOS XE-Software und besitzt die höchstmögliche CVSS-Bewertung von 10,0. Eine erfolgreiche Ausnutzung der Privilegieneskalations-Schwachstelle ermöglicht uneingeschränkten Befehlszugriff, der zum Neustart des Systems und zur Änderung seiner Konfigurationen führen kann, was Angreifern erlaubt, das Konto zu missbrauchen und die Kontrolle über das betroffene System zu übernehmen. Ciscos Talos-Einheit gab bekannt, dass sie am 28. September erstmals die Spuren der Angriffe auf CVE-2023-20198 identifizierten, wobei die entsprechenden Aktivitäten bis zum 18. September zurückreichen. Diese Entdeckung erfolgte im Zuge einer Untersuchung von anomalen Aktivitäten auf einem Gerätekunden.

Am 12. Oktober entdeckten Forscher eine separate Serie von Aktivitäten, die am selben Tag begann und die mit derselben Hackergruppe verbunden werden kann. Anders als beim Vorfall im September umfasste dieser Einsatz auch ein auf Lua basierendes Implantat. Dieses Implantat ist nicht persistent, was bedeutet, dass es entfernt wird, sobald das Gerät neu gestartet wird. Dennoch bleiben die kürzlich eingerichteten lokalen Benutzerkonten auch nach einem Neustart des Systems aktiv. Diese neuen Benutzerkonten besitzen Level-15-Berechtigungen, was ihnen vollständigen Administratorzugriff auf das Gerät gewährt.  

Angriffe von Gegnern, die zur Ausnutzung von CVE-2023-20198 führen, können erfolgreich sein, wenn das System vom Internet oder unsicheren Netzwerken aus erreichbar ist. Der aufgedeckte Sicherheitsfehler betrifft Instanzen, die die Cisco IOS XE-Software mit aktivierter HTTP- oder HTTPS-Server-Funktionalität ausführen.

Angesichts des Fehlens verfügbarer Patches, Milderungen oder Umgehungen zur Behebung dieser Schwachstelle empfiehlt Cisco die Deaktivierung der HTTP-Server-Funktion auf Systemen, die dem Internet ausgesetzt sind, um Eindringlinge zu verhindern.

VulnCheck führte Scans an öffentlich zugänglichen Cisco IOS XE-Webschnittstellen durch und entdeckte Tausende von kompromittierten Hosts. Ein erhöhter Zugriff auf IOS XE-Systeme ermöglicht es Gegnern potenziell, Netzwerkverkehr zu überwachen, gesicherte Netzwerke zu infiltrieren und verschiedene Man-in-the-Middle-Angriffe durchzuführen.

Da derzeit keine Daten zur Liste der betroffenen Instanzen vorliegen, können Tausende von Cisco-Geräten mit internetfähigem Web-UI potenziell den CVE-2023-20198-Ausnutzungsversuchen ausgesetzt sein. Obwohl der Patch noch nicht veröffentlicht wurde, suchen Organisationen nach effizientem Schutz gegen CVE-2023-20198, um ihre Infrastruktur vor Eindringlingen zu verteidigen. Verlassen Sie sich auf Threat Detection Marketplace , um auf den globalen Feed von verhaltensbasierten Erkennungsalgorithmen und Kontext zu den neuesten Bedrohungen, einschließlich Zero-Days zuzugreifen, um immer der Entwicklung voraus zu sein.