اصلاح ایمپلنت درب پشتی در دستگاه‌های سیسکو هک شده برای فرار از تشخیص داده شدن

درب پشتی کاشته شده در دستگاه‌های سیسکو با بهره‌برداری از یک جفت نقص روز صفر در نرم‌افزار IOS XE، توسط عامل تهدید اصلاح شده است تا از طریق روش‌های اثر انگشت قبلی از دید خارج شود.

تیم Fox-IT گروه NCC گفت[۱]: «بررسی ترافیک شبکه به یک دستگاه در معرض خطر نشان داده است که عامل تهدید ایمپلنت را ارتقا داده است تا یک بررسی header اضافی انجام دهد؛ بنابراین، برای بسیاری از دستگاه‌ها، ایمپلنت هنوز فعال است، اما اکنون تنها در صورتی پاسخ می‌دهد که مجوز هدر HTTP به طور صحیح تنظیم شده باشد.»

این حملات مستلزم تبدیل [۲]CVE-2023-20198 (امتیاز ۱۰ در مقیاس CVSS) و [۳]CVE-2023-20273 (امتیاز ۲/۷ در مقیاس CVSS) به یک زنجیره بهره برداری است که به عامل تهدید توانایی دسترسی به دستگاه ها، ایجاد یک حساب کاربری ممتاز را می دهد و در نهایت یک ایمپلنت مبتنی بر Lua را روی دستگاه ها مستقر می‌کند.

این توسعه زمانی انجام شد که سیسکو شروع به ارائه به‌روزرسانی‌های امنیتی برای رسیدگی به این مشکلات کرد[۴] و به‌روزرسانی‌های بیشتری در تاریخی هنوز نامشخص ارائه می‌شوند.

هویت دقیق عامل تهدید پشت این کمپین در حال حاضر مشخص نیست، اگرچه بر اساس داده‌های به اشتراک گذاشته شده توسط VulnCheck و شرکت مدیریت سطح حمله Censys، تعداد دستگاه‌های آسیب‌دیده به هزاران عدد تخمین زده می‌شود.

Mark Ellzey، محقق ارشد امنیتی در Censys، به The Hacker News گفت: “این آلودگی‌ها شبیه هک‌های دسته‌جمعی هستند. ممکن است زمانی پیش بیاید که هکرها آنچه را که دارند مرور کنند و بفهمند که آیا چیزی ارزش دارد یا خیر.”

بااین‌حال، تعداد دستگاه‌های آسیب‌دیده در چند روز گذشته[۵] به‌شدت کاهش ‌یافته[۶] و از حدود ۴۰۰۰۰ به چند صد عدد رسیده است، که منجر به گمانه زنی هایی مبنی بر اینکه ممکن است برخی تغییراتی[۷] برای پنهان کردن حضور آن وجود داشته باشد.

آخرین تغییرات در ایمپلنت کشف شده توسط Fox-IT دلیل این افت ناگهانی و چشمگیر را توضیح می‌دهد، زیرا مشاهده شده است که بیش از ۳۷۰۰۰ دستگاه هنوز با ایمپلنت تحت خطر هستند.

سیسکو، به نوبه خود، تغییر رفتاری[۸] را در توصیه‌های به‌روز خود تأیید کرده است[۹]، و فرمان curl را به اشتراک می‌گذارد که می‌تواند از یک ایستگاه کاری برای بررسی وجود ایمپلنت در دستگاه‌ها صادر شود:

curl -k -H “Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb” -X POS
“https://systemip/webui/logoutconfirm.html?logon_hash=1”

سیسکو خاطرنشان کرد: اگر درخواست یک ‌رشته هگزادسیمال مانند ۰۱۲۳۴۵۶۷۸۹abcdef01 را برگرداند، ایمپلنت وجود دارد.

  منابع

[۱] https://github.com/fox-it/cisco-ios-xe-implant-detection

[۲] https://thehackernews.com/2023/10/warning-unpatched-cisco-zero-day.html

[۳] https://thehackernews.com/2023/10/cisco-zero-day-exploited-to-implant.html

[۴] https://www.cisa.gov/news-events/alerts/2023/10/23/cisa-updates-guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities

[۵] https://dashboard.shadowserver.org/statistics/combined/time-series/?date_range=7&source=compromised_website&source=compromised_website6&tag=device-implant%2B&group_by=geo&style=stacked

[۶] https://twitter.com/onyphe/status/1715633541264900217

[۷] https://twitter.com/CERTCyberdef/status/1715787627800969374

[۸] https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software

[۹] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

[۱۰] https://thehackernews.com/2023/10/backdoor-implant-on-hacked-cisco.html