Cisco IOS XE: grave vulnerabilità nella Web UI (update)
Topic
Approfondimenti
Trending
tutti

Cisco IOS XE: grave vulnerabilità nella Web UI (update)

Cisco ha confermato una vulnerabilità zero-day nell'interfaccia web di IOS XE e attacchi in corso, quindi è necessario disattivare HTTP/HTTPS Server.
Cisco IOS XE: grave vulnerabilità nella Web UI (update)
Sicurezza Antivirus Antivirus
Cisco ha confermato una vulnerabilità zero-day nell'interfaccia web di IOS XE e attacchi in corso, quindi è necessario disattivare HTTP/HTTPS Server.

Cisco ha pubblicato un bollettino di sicurezza per confermare la presenza di una vulnerabilità zero-day nell’interfaccia web di IOS XE. Può essere sfruttata per accedere ai dispositivi, ottenere privilegi elevati e prendere il controllo dell’intera rete. Il produttore statunitense ha già rilevato exploit in circolazione, quindi è necessario disattivare la funzionalità HTTP/HTTPS Server con urgenza in attesa del fix.

Vulnerabilità nell’interfaccia di gestione web

I ricercatori di Cisco Talos hanno individuato tracce di attività sospette sul dispositivo di un cliente il 28 settembre. In seguito all’indagine hanno scoperto che la prima intrusione è avvenuta il 18 settembre con la creazione di un nuovo account utente. La seconda intrusione è avvenuta il 12 ottobre. Oltre alla creazione di un nuovo account utente è stato installato un file di configurazione che definisce un web server endpoint usato per eseguire comandi arbitrari.

L’account utente aveva privilegi di livello 15, quindi l’accesso completo con permessi di amministratore. Ciò è stato ottenuto sfruttando la vulnerabilità CVE-2023-20198, alla quale è stato assegnato il massimo punteggio di gravità CVSS, ovvero 10/10. Il bug è presente nella Web UI di IOS XE, quindi ogni dispositivo con HTTP/HTTPS Server attivo e accessibile da Internet è vulnerabile (secondo Shodan sono circa 80.000).

Per installare il file di configurazione è stata sfruttata la vulnerabilità CVE-2021-1435 (risolta da Cisco due anni fa), dopo aver ottenuto l’accesso al dispositivo. I ricercatori hanno scoperto che il file è stato installato anche su dispositivi aggiornati, per cui i cybercriminali hanno usato un altro meccanismo (ignoto al momento).

In attesa della patch, Cisco suggerisce di disattivare la funzionalità HTTP/HTTPS Server su tutti i dispositivi esposti su Internet.

Aggiornamento (21/10/2023): Cisco ha aggiornato il bollettino di sicurezza per comunicare che l’installazione del file di configurazione è avvenuto sfruttando la vulnerabilità CVE-2023-20273, non la CVE-2023-1435, come indicato in precedenza. I fix per entrambe dovrebbero essere rilasciati entro il 22 ottobre.

Aggiornamento (23/10/2023): come promesso, Cisco ha rilasciato le patch per le due vulnerabilità.

Fonte: Cisco Talos

Pubblicato il 17 ott 2023

Link copiato negli appunti

Ti potrebbe interessare

Fai qualcosa per la tua privacy online! Surfshark VPN a partire da 2€

Fai qualcosa per la tua privacy online! Surfshark VPN a partire da 2€
Offerta lancio Kaspersky Premium: protezione totale al 56% di sconto

Offerta lancio Kaspersky Premium: protezione totale al 56% di sconto
Quale VPN scegliere? Con questa promo bastano 2,19 €/mese

Quale VPN scegliere? Con questa promo bastano 2,19 €/mese
CyberGhost VPN: uno strumento potente contro le truffe online

CyberGhost VPN: uno strumento potente contro le truffe online
Fai qualcosa per la tua privacy online! Surfshark VPN a partire da 2€

Fai qualcosa per la tua privacy online! Surfshark VPN a partire da 2€
Offerta lancio Kaspersky Premium: protezione totale al 56% di sconto

Offerta lancio Kaspersky Premium: protezione totale al 56% di sconto
Quale VPN scegliere? Con questa promo bastano 2,19 €/mese

Quale VPN scegliere? Con questa promo bastano 2,19 €/mese
CyberGhost VPN: uno strumento potente contro le truffe online

CyberGhost VPN: uno strumento potente contro le truffe online
Luca Colantuoni
Pubblicato il
17 ott 2023
Link copiato negli appunti