Prolongar/ Os cabos passam por um switch de dados Cisco.
Imagens Getty
A Cisco está incentivando os clientes a protegerem seus dispositivos após a descoberta de uma vulnerabilidade crítica e explorada ativamente de dia zero, que dá aos agentes de ameaças total controle administrativo das redes.
“A exploração bem-sucedida desta vulnerabilidade permite que um invasor crie uma conta no dispositivo afetado com acesso de nível de privilégio 15, garantindo-lhe efetivamente controle total do dispositivo comprometido e permitindo possíveis atividades não autorizadas subsequentes”, membros da equipe de segurança Talos da Cisco. escreveu segunda-feira. “Esta é uma vulnerabilidade crítica e recomendamos fortemente que as entidades afetadas implementem imediatamente as etapas descritas no comunicado PSIRT da Cisco.”
Sob exploração por 4 semanas
A vulnerabilidade anteriormente desconhecida, rastreada como CVE-2023-20198, carrega a classificação de gravidade máxima de 10. Ela reside na interface do usuário da Web do software Cisco IOS XE quando exposta à Internet ou a redes não confiáveis. Qualquer switch, roteador ou controlador de LAN sem fio executando o IOS XE que tenha o recurso HTTP ou HTTPS Server ativado e exposto à Internet é vulnerável. No momento em que esta postagem foi publicada, o mecanismo de busca Shodan mostrou que até 80 mil dispositivos conectados à Internet poderiam ser afetados.
A Cisco disse que um ator de ameaça desconhecido tem explorado o dia zero desde pelo menos 18 de setembro. Depois de usar a vulnerabilidade para se tornar um usuário autorizado, o invasor cria uma conta de usuário local. Na maioria dos casos, o agente da ameaça implantou um implante que lhe permite executar comandos maliciosos no nível do sistema ou iOS, assim que o servidor web for reiniciado. O implante não consegue sobreviver a uma reinicialização, mas as contas de usuário locais permanecerão ativas.
O comunicado de segunda-feira dizia que depois de obter acesso a um dispositivo vulnerável, o agente da ameaça explora uma vulnerabilidade média, CVE-2021-1435, que a Cisco corrigiu há dois anos. Os membros da equipe do Talos disseram que viram dispositivos totalmente corrigidos contra a vulnerabilidade anterior, instalando o implante “através de um mecanismo ainda indeterminado”.
O implante é salvo no caminho do arquivo “/usr/binos/conf/nginx-conf/cisco_service.conf”. Ele contém duas strings variáveis compostas por caracteres hexadecimais. O aviso continuou:
O implante é baseado na linguagem de programação Lua e consiste em 29 linhas de código que facilitam a execução arbitrária de comandos. O invasor deve criar uma solicitação HTTP POST para o dispositivo, que entrega as três funções a seguir (Figura 1):
A primeira função é ditada pelo parâmetro “menu”, que deve existir e não deve estar vazio. Isso retorna uma sequência de números cercados por barras, que suspeitamos que possam representar a versão do implante ou a data de instalação.
A segunda função é ditada pelo parâmetro “logon_hash”, que deve ser definido como “1”. Isso retorna uma sequência hexadecimal de 18 caracteres que está codificada no implante.
A terceira função também é ditada pelo parâmetro “logon_hash”, que verifica se o parâmetro corresponde a uma string hexadecimal de 40 caracteres que está codificada no implante. Um segundo parâmetro usado aqui é “common_type”, que não deve ser vazio e cujo valor determina se o código é executado no nível do sistema ou no nível IOS. Se o código for executado no nível do sistema, este parâmetro deve ser definido como “subsistema”, e se for executado no nível IOS, o parâmetro deve ser “iox”. Os comandos IOX são executados no nível de privilégio 15.
Cisco
Na maioria dos casos, observamos a instalação deste implante, tanto a sequência hexadecimal de 18 caracteres na segunda função quanto a sequência hexadecimal de 40 caracteres na terceira função são únicas, embora em alguns casos essas sequências fossem as mesmas em diferentes dispositivos . Isto sugere que existe uma maneira de o ator calcular o valor usado na terceira função a partir do valor retornado pela segunda função, agindo como uma forma de autenticação necessária para a execução arbitrária do comando fornecido na terceira função.
Os membros da equipe do Talos recomendam fortemente aos administradores de qualquer equipamento afetado que procurem imediatamente em suas redes sinais de comprometimento. O meio mais eficaz é procurar usuários inexplicáveis ou recém-criados nos dispositivos. Uma forma de identificar se um implante foi instalado é executar o seguinte comando no dispositivo, onde a parte “DEVICEIP” é um espaço reservado para o endereço IP do dispositivo a ser verificado:
curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"
As contas de administrador podem ter os nomes cisco_tac_admin ou cisco_support. Os endereços IP que a Cisco viu até agora explorando o dia zero são 5.149.249[.]74 e 154.53.56[.]231. Orientações adicionais da Cisco:
Verifique nos logs do sistema a presença de qualquer uma das seguintes mensagens de log em que “usuário” pode ser “cisco_tac_admin”, “cisco_support” ou qualquer usuário local configurado que seja desconhecido para o administrador da rede:
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
Nota: A mensagem %SYS-5-CONFIG_P estará presente para cada instância em que um usuário acessou a UI da web. O indicador a procurar são nomes de usuário novos ou desconhecidos presentes na mensagem.
Verifique os logs do sistema para a seguinte mensagem onde nome do arquivo é um nome de arquivo desconhecido que não se correlaciona com uma ação esperada de instalação de arquivo:
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename It should go without saying but the HTTP and HTTPS server feature should never be enabled on internet-facing systems as is consistent with long-established best practices. Cisco reiterated the guidance in Monday’s advisory.
Nem é preciso dizer, mas o recurso de servidor HTTP e HTTPS nunca deve ser habilitado em sistemas voltados para a Internet, conforme é consistente com as práticas recomendadas há muito estabelecidas. A Cisco reiterou a orientação no comunicado de segunda-feira.
Esta vulnerabilidade é relativamente fácil de explorar e dá aos hackers a capacidade de realizar todos os tipos de ações maliciosas contra redes infectadas. Qualquer pessoa que administre equipamentos Cisco deve ler atentamente o comunicado e as instruções mencionadas acima. Assessoria PSIRT e siga todas as recomendações o mais rápido possível.
