Detecção CVE-2023-20198: Vulnerabilidade Zero-Day do Cisco IOS XE Ativamente Explorada para Instalar Implants
Índice:
Logo após uma nova onda na campanha de longa duração Balada Injector explorando o CVE-2023-3169, outro bug crítico de segurança em produtos de software populares ganha destaque. Uma nova vulnerabilidade de escalonamento de privilégios que afeta o software Cisco IOS XE está sendo explorada ativamente em ambientes para ajudar a instalar implantes nos dispositivos impactados.
A falha zero-day descoberta, conhecida como CVE-2023-20198, permite que adversários remotos e não autenticados gerem uma conta de nível privilegiado em um sistema comprometido. Enquanto o patch não está disponível, o CVE-2023-20198 representa sérios riscos de segurança para instâncias potencialmente hackeadas.
Detectar Tentativas de Exploração do CVE-2023-20198
No cenário de ameaças em rápida evolução de hoje, marcado por uma onda implacável de vulnerabilidades exploradas existentes em aplicativos relacionados a negócios e cada vez mais aproveitadas por invasores para violar a defesa da infraestrutura organizacional, uma abordagem proativa e ágil para a detecção de ameaças é necessária. A Plataforma SOC Prime oferece uma variedade de ferramentas de cibersegurança robustas projetadas para melhorar as capacidades e a eficiência de defesa cibernética das equipes SOC.
Mergulhe no reino da inteligência de ameaças em tempo real para se manter à frente das novas ameaças com o feed mais rápido do mundo sobre as últimas Táticas, Técnicas e Procedimentos (TTPs) usados por adversários. Para fortalecer suas defesas contra possíveis tentativas de exploração do CVE-2023-20198, a SOC Prime oferece uma regra Sigma curada que ajuda a identificar padrões de solicitações web suspeitas, que podem estar relacionadas ao implante interno malicioso ou a um atacante interno tentando explorar a vulnerabilidade dentro do ambiente. A detecção é mapeada para o framework MITRE ATT&CK® e acompanhada por metadados extensivos para agilizar a investigação.
A regra suporta 18 tecnologias SIEM, EDR, XDR e Data Lake, abordando a tática de Movimento Lateral com a técnica de Exploração de Serviços Remotos (T1210).
Para impulsionar a investigação de ameaças, os usuários do SOC Prime também podem utilizar uma regra Sigma abaixo que ajuda a detectar possíveis tentativas de exploração do CVE-2023-20198 ao identificar contas suspeitas no dispositivo (consulte a lista de IOCs fornecida pelo fornecedor do dispositivo). Notavelmente, parte desta regra deve ser correspondentemente atualizada pelo usuário final para excluir todas as contas legítimas que já existem e são usadas para atividades administrativas (os marcadores são placeholder_para_conta_legítima1, placeholder_para_conta_legítima2, etc).
A regra é compatível com XX soluções de análise de segurança e mapeada para MITRE ATT&CK abordando as táticas de Acesso Inicial e Movimento Lateral com Exploração de Aplicação Voltada para o Público (T1190) e Exploração de Serviços Remotos (T1210) respectivamente.
Para explorar todo o conjunto de detecção para vulnerabilidades emergentes e críticas, pressione o botão Explorar Detecções abaixo. Todas as regras são acompanhadas por um extenso contexto de ameaças cibernéticas e CTI para impulsionar a investigação de ameaças.
Análise do CVE-2023-20198
A Cisco recentemente emitiu um aviso de segurança confirmando a exploração ativa de uma vulnerabilidade zero-day anteriormente não divulgada designada como CVE-2023-20198. As recomendações fornecidas no aviso de segurança correspondente estão alinhadas com as melhores práticas estabelecidas e aderem à diretiva de cibersegurança anteriormente emitida pelo governo dos EUA para a redução de riscos das interfaces de gerenciamento expostas à internet.
O novo bug de segurança descoberto impacta o recurso da interface web do Cisco IOS XE Software, possuindo a maior pontuação CVSS possível de 10.0. A exploração bem-sucedida da vulnerabilidade de escalonamento de privilégios permite acesso irrestrito a comandos, levando ao recarregamento do sistema e à alteração de suas configurações, o que pode permitir que os atacantes abusem da conta e assumam ainda mais o controle do sistema impactado. A unidade Talos da Cisco divulgou que identificaram pela primeira vez os vestígios de ataques visando o CVE-2023-20198 em 28 de setembro, com a atividade correspondente datando de 18 de setembro. Esta descoberta ocorreu como resultado de uma investigação sobre atividade anômala em um dispositivo de um cliente.
Em 12 de outubro, pesquisadores detectaram uma série separada de atividades que começou no mesmo dia e que pode estar ligada ao mesmo coletivo de hackers. Ao contrário do incidente de setembro, o último também envolveu o uso de um implante baseado em Lua. O implante é não persistente, o que implica que será removido assim que o dispositivo for reinicializado. No entanto, as contas de usuário local recentemente estabelecidas permanecem operacionais mesmo após o sistema ser reinicializado. Essas novas contas de usuário possuem privilégios de nível 15, concedendo-lhes acesso completo de administrador ao dispositivo.
As tentativas de adversários que levam à exploração do CVE-2023-20198 podem ser bem-sucedidas quando o sistema é acessível da internet ou de redes não seguras. O bug de segurança revelado impacta instâncias que executam o software Cisco IOS XE com a funcionalidade de Servidor HTTP ou HTTPS ativada.
Em vista da ausência de quaisquer correções, mitigations ou soluções alternativas para lidar com essa vulnerabilidade, a Cisco recomenda desativar o recurso de Servidor HTTP em sistemas expostos à internet para prevenir intrusões.
A VulnCheck realizou varreduras nas interfaces web do Cisco IOS XE acessíveis publicamente e descobriu milhares de hosts comprometidos. Ter acesso elevado aos sistemas IOS XE potencialmente permite que os adversários monitorem o tráfego de rede, infiltrem-se em redes seguras e realizem vários ataques man-in-the-middle.
Sem dados atuais sobre a lista de instâncias impactadas, milhares de dispositivos Cisco com interface web voltada para a internet podem estar potencialmente expostos a tentativas de exploração do CVE-2023-20198. Enquanto o patch ainda não foi lançado, as organizações procuram proteção eficiente contra o CVE-2023-20198 para defender sua infraestrutura contra intrusões. Conte com o Threat Detection Marketplace para acessar o feed global de algoritmos de detecção baseados em comportamento e contexto sobre as ameaças mais recentes, incluindo zero-days, para se manter sempre à frente do jogo.
