سیسکوسیسکو درباره یک نقص جدید در روز صفر در IOS XE هشدار داده است که به طور فعال توسط یک عامل تهدید ناشناخته برای استقرار یک ایمپلنت مخرب مبتنی بر [۱]Lua روی دستگاه‌های حساس مورد بهره‌برداری قرار گرفته است.

این مشکل که به‌عنوان CVE-2023-20273 (امتیاز ۲/۷ در مقیاس CVSS) ردیابی می‌شود[۲]، به نقص افزایش امتیاز در ویژگی رابط کاربری وب مربوط می‌شود و گفته می‌شود که در کنار CVE-2023-20198 به عنوان بخشی از یک زنجیره بهره‌برداری استفاده شده است.

سیسکو در گزارش به‌روز شده‌ای که روز جمعه ۲۰ اکتبر ۲۰۲۳ منتشر شد در این باره گفت[۳]: «مهاجم ابتدا از CVE-2023-20198 برای به دست آوردن دسترسی اولیه بهره‌برداری کرد و یک فرمان را برای ایجاد یک ترکیب کاربری محلی و رمز عبور صادر کرد. این به کاربر اجازه می داد تا با دسترسی عادی وارد سیستم شود.»

“سپس مهاجم از یکی دیگر از ویژگی‌های رابط کاربری وب بهره‌برداری کرد و از کاربر محلی جدید برای ارتقای امتیاز برای روت کردن و نوشتن ایمپلنت در سیستم فایل استفاده کرد”، نقصی که به آن شناسه CVE-2023-20273 اختصاص داده شده است.

یکی از سخنگویان سیسکو به The Hacker News گفت که اصلاحی که هر دو آسیب‌پذیری را پوشش می‌دهد شناسایی شده است و از ۲۲ اکتبر ۲۰۲۳ در دسترس مشتریان قرار خواهد گرفت. در این مدت، توصیه می‌شود ویژگی سرور HTTP را غیرفعال کنید.

درحالی‌که سیسکو قبلاً اشاره کرده بود که یک نقص امنیتی که اکنون وصله شده در همان نرم‌افزار برای نصب درب پشتی مورد بهره‌برداری قرار گرفته است، این شرکت ارزیابی کرد که این آسیب‌پذیری باتوجه‌به کشف روز صفر جدید دیگر با این فعالیت مرتبط نیست[۴].

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) گفت[۵]: «یک بازیگر راه دور تأیید نشده می‌تواند از این آسیب‌پذیری‌ها برای به دست‌گرفتن کنترل سیستم آسیب‌دیده استفاده کند». به طور خاص، این آسیب‌پذیری‌ها به بازیگر اجازه می‌دهد تا یک حساب کاربری ممتاز ایجاد کند که کنترل کاملی بر دستگاه فراهم می‌کند.

بهره‌برداری موفقیت‌آمیز از باگ‌ها می‌تواند به مهاجمان امکان دسترسی از راه دور بدون محدودیت[۶] به روترها و سوئیچ‌ها، نظارت بر ترافیک شبکه، تزریق و هدایت ترافیک شبکه و استفاده از آن به‌عنوان یک محل دائمی به شبکه را به دلیل فقدان راه‌حل‌های حفاظتی برای این دستگاه‌ها بدهد.

این توسعه در حالی صورت می‌گیرد که بر اساس داده‌های [۷]Censys و LeakIX[8]، تخمین زده می‌شود که بیش از ۴۱۰۰۰ دستگاه سیسکو که از نرم‌افزار آسیب‌پذیر IOS XE استفاده می‌کنند، توسط عوامل تهدید با استفاده از این دو نقص امنیتی در معرض خطر قرار گرفته‌اند.

شرکت مدیریت سطح حمله گفت: «در ۱۹ اکتبر، تعداد دستگاه‌های آسیب‌دیده سیسکو به ۳۶۵۴۱ دستگاه کاهش یافت. هدف اصلی این آسیب‌پذیری، شرکت های بزرگ نیستند، بلکه نهادها و افراد کوچکتر هستند.»

  منابع

[۱] https://thehackernews.com/2023/10/warning-unpatched-cisco-zero-day.html

[۲] https://nvd.nist.gov/vuln/detail/CVE-2023-20273

[۳] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

[۴] https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software

[۵] https://www.cisa.gov/news-events/alerts/2023/10/20/cisa-releases-guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities

[۶] https://www.horizon3.ai/cisco-ios-xe-web-ui-vulnerability-a-glimpse-into-cve-2023-20198

[۷] https://censys.com/cve-2023-20198-cisco-ios-xe-zeroday

[۸] https://twitter.com/leak_ix/status/1714342183141028307

[۹] https://thehackernews.com/2023/10/cisco-zero-day-exploited-to-implant.html