Détection CVE-2023-20198 : Vulnérabilité Zero Day de Cisco IOS XE Exploitée Activement pour Installer des Implants
Table des matières :
Peu de temps après une nouvelle vague dans la campagne Balada Injector de longue durée exploitant CVE-2023-3169, un autre bug de sécurité critique dans des logiciels populaires fait l’objet de toutes les attentions. Une nouvelle vulnérabilité d’escalade de privilèges affectant le logiciel Cisco IOS XE est activement exploitée dans la nature pour aider à installer des implants sur les appareils impactés.
Le zero-day découvert connu sous le nom CVE-2023-20198 permet à des adversaires distants et non authentifiés de générer un compte de niveau de privilège sur un système compromis. Bien que le correctif ne soit actuellement pas disponible, CVE-2023-20198 présente de graves risques de sécurité pour les instances potentiellement piratées.
Détecter les tentatives d’exploitation de CVE-2023-20198
Dans le paysage des menaces en évolution rapide d’aujourd’hui, marqué par une vague incessante de vulnérabilités exploitées dans les applications liées aux affaires et de plus en plus utilisées par les attaquants pour percer la défense de l’infrastructure organisationnelle, une approche proactive et agile de la détection des menaces est requise. La plateforme SOC Prime offre un éventail d’outils de cybersécurité robustes conçus pour améliorer les capacités de défense cybernétique et l’efficacité des équipes SOC.
Plongez dans le domaine de l’intelligence des menaces en temps réel pour garder une longueur d’avance sur les menaces émergentes avec le flux le plus rapide au monde sur les dernières tactiques, techniques et procédures (TTP) utilisées par les adversaires. Pour renforcer vos défenses contre les tentatives d’exploitation de CVE-2023-20198, SOC Prime propose une règle Sigma sélectionnée aidant à identifier les modèles de requêtes web suspects liés au potentiel implant interne malveillant ou à un attaquant interne essayant d’exploiter la vulnérabilité à l’intérieur de l’environnement. La détection est mappée au cadre MITRE ATT&CK® et accompagnée par des métadonnées étendues pour simplifier l’enquête.
La règle prend en charge 18 technologies SIEM, EDR, XDR, et Data Lake, abordant la tactique de Déplacement Latéral avec la technique d’Exploitation de Services à Distance (T1210).
Pour améliorer l’enquête sur les menaces, les utilisateurs de SOC Prime peuvent également tirer parti d’une règle Sigma ci-dessous qui aide à détecter les tentatives d’exploitation possibles de CVE-2023-20198 en identifiant les comptes suspects sur l’appareil (référez-vous à la liste des IOCs fournis par le fournisseur de l’appareil). Notamment, une partie de cette règle doit être mise à jour par l’utilisateur final pour exclure tous les comptes légitimes qui existent déjà et sont utilisés pour des activités administratives (les placeholders sont placeholder_for_legit_account1, placeholder_for_legit_account2, etc.).
La règle est compatible avec xx solutions d’analytique de sécurité et mappée à MITRE ATT&CK abordant les tactiques d’Accès Initial et de Déplacement Latéral avec Exploitation d’une Application Publique (T1190) et Exploitation de Services à Distance (T1210), respectivement.
Pour explorer l’ensemble du dispositif de détection des vulnérabilités émergentes et critiques, appuyez sur le bouton Explorer les Détections ci-dessous. Toutes les règles sont accompagnées par un contexte étendu de menaces cybernétiques et CTI pour améliorer l’enquête sur les menaces.
bouton Explorer les Détections
Analyse de CVE-2023-20198
Cisco a récemment émis un avis de sécurité confirmant l’exploitation active d’une vulnérabilité zero-day précédemment non divulguée désignée sous le nom CVE-2023-20198. Les recommandations fournies dans l’avis de sécurité correspondant sont alignées avec les meilleures pratiques établies et respectent la directive de cybersécurité précédemment émise par le gouvernement des États-Unis pour réduire les risques des interfaces de gestion exposées à Internet.
Le nouveau bug de sécurité découvert impacte la fonctionnalité web UI du Logiciel Cisco IOS XE, possédant le score CVSS le plus élevé possible de 10.0. L’exploitation réussie de la vulnérabilité d’escalade de privilèges permet un accès aux commandes illimité, entraînant le redémarrage du système et la modification de ses configurations, ce qui peut permettre aux attaquants d’abuser du compte et de prendre davantage le contrôle du système impacté. L’unité Talos de Cisco a révélé qu’ils ont d’abord identifié les traces des attaques visant CVE-2023-20198 le 28 septembre, avec l’activité correspondante remontant au 18 septembre. Cette découverte est survenue à la suite d’une enquête sur une activité anormale sur l’appareil d’un client.
Le 12 octobre, les chercheurs ont détecté une série d’activités distincte qui a commencé le même jour et qui peut être liée au même collectif de hackers. Contrairement à l’incident de septembre, ce dernier impliquait également le déploiement d’un implant basé sur Lua. L’implant est non persistant, ce qui implique qu’il sera supprimé une fois que l’appareil redémarre. Cependant, les comptes utilisateurs locaux récemment établis restent opérationnels même après le redémarrage du système. Ces nouveaux comptes utilisateurs possèdent des privilèges de niveau 15, leur accordant un accès administrateur complet à l’appareil.
Les tentatives adverses menant à exploiter CVE-2023-20198 peuvent réussir lorsque le système est accessible depuis Internet ou des réseaux non sécurisés. Le bug de sécurité dévoilé impacte les instances exécutant le logiciel Cisco IOS XE avec la fonctionnalité HTTP ou HTTPS Server activée.
En l’absence de toute correction, mitigation ou solution de contournement disponible pour adresser cette vulnérabilité, Cisco recommande de désactiver la fonctionnalité HTTP Server sur les systèmes exposés à Internet pour prévenir les intrusions.
VulnCheck a effectué des scans sur les interfaces web de Cisco IOS XE accessibles publiquement et a découvert des milliers d’hôtes compromis. Avoir un accès élevé aux systèmes IOS XE pourrait potentiellement permettre aux adversaires de surveiller le trafic réseau, d’infiltrer des réseaux sécurisés et de mener diverses attaques de type homme-du-milieu.
Sans données actuelles sur la liste des instances impactées, des milliers d’appareils Cisco avec une interface web exposée à Internet peuvent potentiellement être exposés aux tentatives d’exploitation de CVE-2023-20198. Bien que le correctif n’ait pas encore été publié, les organisations recherchent une protection efficace contre CVE-2023-20198 pour défendre leur infrastructure contre les intrusions. Comptez sur Threat Detection Marketplace pour accéder au flux mondial d’algorithmes de détection basés sur le comportement et de contexte sur les dernières menaces, y compris les zero-days pour rester toujours en avance sur le jeu.
