Cisco victime d’une vulnérabilité critique
Une faille critique fortement exploitée.
Cisco a récemment dévoilé plusieurs vulnérabilités critiques dans les produits Cisco dont une faille particulièrement dangereuse.
Identifiée sous le nom de CVE-2023-20198, dans son logiciel IOS XE. Cette faille a été rapidement et largement exploitée avec succès, au moins 50 000 machines ayant déjà été compromises, soulignant l’importance cruciale de la sécurité des infrastructures réseau.
La CVE-2023-20198 concerne une vulnérabilité dans la fonctionnalité d’interface utilisateur Web du logiciel Cisco IOS XE.
Les attaquants ont réussi à exploiter deux problèmes précédemment inconnus. Initialement, ils ont exploité la CVE-2023-20198 pour obtenir un accès initial en émettant une commande de privilège 15, créant ainsi un utilisateur local avec un accès normal. Cette première étape a permis à l’attaquant de contourner les mesures de sécurité et d’établir une présence persistante dans le système.
Suite à cela, l’attaquant a exploité une autre composante de la fonctionnalité d’interface utilisateur Web pour élever les privilèges à la racine, lui permettant d’écrire un implant dans le système de fichiers.
Avec un score CVSS de 10.0, il s’agit d’une vulnérabilité critique avec un impact extrêmement dangereux pour la sécurité des systèmes concernés.
Cette vulnérabilité affecte spécifiquement les appareils utilisant le logiciel Cisco IOS XE, sous réserve que la fonctionnalité d’interface utilisateur Web soit activée. La présence des commandes « ip http server » ou « ip http secure-server » dans la configuration globale indique que la fonctionnalité est activée.
Retour d’expérience ORNISEC : détecter et résoudre la vulnérabilité.
Les experts ORNISEC ont été appelés pour aider des clients à faire face à cette vulnérabilité critique.
La première chose à faire et de mettre à jour dès que possible le logiciel vers les versions corrigées. Ces dernières sont les suivantes :
- 17.9 : 17.9.4a
- 17.6 : 17.6.6a
- 17.3 : 17.3.8a
- 16.12 (Catalyst 3650 et 3850 uniquement) : 16.12.10a
Si la mise à jour n’est pas immédiatement possible, des mesures compensatoires sont applicables en attendant de pouvoir appliquer les patchs de sécurité.
Il est recommandé de désactiver la fonctionnalité du serveur HTTP sur les systèmes exposés car l’exploitation de la vulnérabilité nécessite d’avoir accès à l’interface web HTTPS/HTTP. Les administrateurs peuvent utiliser les commandes « no ip http server » ou « no ip http secure-server » en mode de configuration globale pour désactiver cette fonctionnalité.
Pour déterminer si un système a été compromis, les experts ORNISEC invitent à vérifier les journaux système. Des indicateurs tels que des messages de configuration ou d’installation inattendus peuvent être des signes d’activité malveillante. Ils recommandent également des commandes, telles que l’utilisation de Curl ou gifthub, pour vérifier la présence d’un implant sur le système.
La vérification sur les nouveaux comptes créés récemment peut aussi être un outil pertinent pour identifier de possibles attaquants (en particulier pour les utilisateurs suivants : cisco_tac_admin, cisco_support).
En cas de compromission, les administrateurs sont encouragés à suivre les procédures de sécurité recommandées par Cisco, à prendre des mesures pour éliminer l’implant et à appliquer les correctifs appropriés.
Une réponse rapide et efficace est essentielle pour minimiser les risques associés à cette vulnérabilité critique.