Rilevamento CVE-2023-20198: Vulnerabilità Zero-Day di Cisco IOS XE Attivamente Sfruttata per Installare Impianti

Subito dopo una nuova ondata nella lunga campagna Balada Injector sfruttando CVE-2023-3169, un altro grave bug di sicurezza nei popolari prodotti software viene messo in evidenza. Una nuova vulnerabilità di escalation dei privilegi che colpisce il software Cisco IOS XE è attivamente sfruttata in natura per aiutare a installare impianti sui dispositivi colpiti.

La zero-day scoperta nota come CVE-2023-20198 permette agli avversari remoti e non autenticati di generare un account a livello di privilegi su un sistema compromesso. Sebbene la patch attualmente non sia disponibile, CVE-2023-20198 rappresenta un grave rischio di sicurezza per le istanze potenzialmente hackerate. 

Rileva i Tentativi di Sfruttamento di CVE-2023-20198

Nell’attuale panorama delle minacce in rapida evoluzione, caratterizzato da una pressione incessante sulle vulnerabilità esistenti nelle applicazioni aziendali e sempre più sfruttate dagli attaccanti per violare la difesa delle infrastrutture organizzative, è richiesta un’approccio proattivo e agile per la rilevazione delle minacce. La piattaforma SOC Prime offre una gamma di strumenti di cybersecurity robusti su misura per migliorare le capacità di difesa informatica e l’efficienza dei team SOC.

Avventurati nel regno dell’intelligenza sulle minacce in tempo reale per rimanere avanti alle minacce emergenti con il feed più veloce al mondo sulle ultime Tattiche, Tecniche e Procedure (TTP) utilizzate dagli avversari. Per rinforzare le tue difese contro i tentativi di sfruttamento di CVE-2023-20198, SOC Prime offre una regola Sigma curata per aiutare a identificare i modelli di richieste web sospette, che possono essere collegati all’impianto maligno interno o ad un attaccante interno che tenta di sfruttare la vulnerabilità all’interno dell’ambiente. La rilevazione è mappata al quadro MITRE ATT&CK® ed è accompagnata da metadati estesi per semplificare l’indagine.

Possibili Pattern di Sfruttamento di CVE-2023-20198 (Vulnerabilità di Escalation dei Privilegi UI Web di Cisco IOS XE Software) (via proxy)

La regola supporta 18 tecnologie SIEM, EDR, XDR e Data Lake, affrontando la tattica del Lateral Movement con la tecnica Sfruttamento dei Servizi Remoti (T1210).

Per migliorare l’indagine sulle minacce, gli utenti di SOC Prime possono anche sfruttare una regola Sigma qui sotto che aiuta a rilevare possibili tentativi di sfruttamento di CVE-2023-20198 identificando account sospetti sul dispositivo (fare riferimento all’elenco di IOC forniti dal venditore del dispositivo). Notoriamente, una parte di questa regola dovrebbe essere corrispondentemente aggiornata dall’utente finale per escludere tutti gli account legittimi già esistenti e utilizzati per attività amministrative (i segnaposto sono segnaposto_per_account_legittimo1, segnaposto_per_account_legittimo2, ecc).

Possibili Pattern di Sfruttamento di CVE-2023-20198 (Vulnerabilità di Escalation dei Privilegi UI Web di Cisco IOS XE Software) (via parole chiave)

La regola è compatibile con xx soluzioni di analisi della sicurezza e mappata a MITRE ATT&CK affrontando le tattiche di Accesso Iniziale e Lateral Movement con le tecniche Exploit di Applicazioni a Viso Pubblico (T1190) e Sfruttamento di Servizi Remoti (T1210) corrispondentemente.

Per esplorare l’intero stack di rilevamento per vulnerabilità emergenti e critiche, premere il pulsante Esplora Rilevamenti qui sotto. Tutte le regole sono accompagnate da un contesto di minaccia informatica esteso e CTI per migliorare l’indagine sulle minacce.

Esplora Rilevamenti

Analisi di CVE-2023-20198

Cisco ha recentemente emesso un avviso di sicurezza confermazione dello sfruttamento attivo di una vulnerabilità zero-day precedentemente non divulgata designata come CVE-2023-20198. Le raccomandazioni fornite nel corrispondente avviso di sicurezza si allineano con le best practice stabilite e aderiscono alla direttiva sulla cybersecurity precedentemente emessa dal governo degli Stati Uniti per la riduzione del rischio delle interfacce di gestione esposte a Internet.

Il nuovo bug di sicurezza scoperto impatta la funzionalità UI web del Cisco IOS XE Software, possedendo il punteggio CVSS più alto possibile di 10.0. Lo sfruttamento riuscito della vulnerabilità di escalation dei privilegi permette accesso illimitato ai comandi, portando a ricaricamento del sistema e modifica delle sue configurazioni, il che può consentire agli attaccanti di abusare dell’account e prendere ulteriormente il controllo del sistema impattato. L’unità Talos di Cisco ha rivelato di aver identificato per la prima volta le tracce di attacchi mirati a CVE-2023-20198 il 28 settembre, con l’attività corrispondente risalente al 18 settembre. Questa scoperta è avvenuta a seguito di un’indagine su un’attività anomala su un dispositivo di un cliente.

Il 12 ottobre, i ricercatori hanno rilevato una serie separata di attività iniziata lo stesso giorno e che può essere collegata allo stesso collettivo di hacker. A differenza dell’incidente di settembre, quest’ultima include anche il deployment di un impianto basato su Lua. L’impianto non è persistente, il che implica che verrà rimosso una volta riavviato il dispositivo. Tuttavia, i nuovi account utente locali recentemente stabiliti rimangono operativi anche dopo il riavvio del sistema. Questi nuovi account utente possiedono privilegi di livello 15, concedendo loro il completo accesso amministrativo al dispositivo.

I tentativi degli avversari di sfruttare CVE-2023-20198 possono avere successo quando il sistema è raggiungibile da Internet o da reti non protette. Il bug di sicurezza svelato impatta le istanze che eseguono il software Cisco IOS XE con la funzionalità Server HTTP o HTTPS abilitata.

Alla luce della mancanza di correzioni, mitigazioni o soluzioni disponibili per affrontare questa vulnerabilità, Cisco raccomanda di disattivare la funzionalità del Server HTTP sui sistemi esposti a Internet per prevenire intrusi.

VulnCheck ha effettuato scansioni sulle interfacce web di Cisco IOS XE accessibili pubblicamente e ha scoperto migliaia di host compromessi. Avere accesso elevato ai sistemi IOS XE consente potenzialmente agli avversari di monitorare il traffico di rete, infiltrarsi in reti sicure e condurre vari attacchi man-in-the-middle.

In assenza di dati correnti sull’elenco delle istanze impattate, migliaia di dispositivi Cisco con UI web esposte a Internet possono essere potenzialmente esposti ai tentativi di sfruttamento di CVE-2023-20198. Mentre la patch non è ancora stata rilasciata, le organizzazioni stanno cercando una protezione efficiente contro CVE-2023-20198 per difendere la loro infrastruttura dalle intrusioni. Affidati al Marketplace per la Rilevazione delle Minacce per accedere al feed globale di algoritmi di rilevazione basati sul comportamento e contesto sulle ultime minacce, inclusi zero-day, per rimanere sempre un passo avanti.