Cisco waarschuwt klanten voor een zeroday kwetsbaarheid waar actief misbruik van wordt gemaakt. Door Deze kwetsbaarheid is het mogelijk om op afstand willekeurige code uit te voeren en de controle over een apparaat over te nemen. Vertrouwelijke gegevens liggen hierdoor mogelijk voor het oprapen. Het technologiebedrijf heeft nog geen patches uitgegeven die het probleem verhelpen, maar heeft wel mitigerende maatregelen aanbevolen.
Dat meldt Cisco in een Security Advisory. Ook het Nationaal Cyber Security Centrum (NCSC) raadt klanten aan om zo snel mogelijk in actie te komen.
Zo buiten hackers de zeroday exploit uit
Het gaat om een voorheen onbekende kwetsbaarheid in de Web User Interface functie (Web UI) van Cisco IOS EX-software. Deze exploit, die momenteel actief wordt misbruikt, maakt het mogelijk om op afstand een admin-account aan te maken met ‘privilege level 15’, het hoogst mogelijk toegangsniveau die je kunt bedenken op Cisco-apparatuur. Een hacker of cybercrimineel kan hierdoor de volledige controle overnemen over een Cisco router of switch. Daardoor is het mogelijk om toegang te krijgen tot bedrijfsgevoelige of andere vertrouwelijke informatie.
Als een aanvaller eenmaal toegang heeft tot een router of switch, kan hij een lokaal account aanmaken. In de meeste gevallen wordt daarna een ‘implant’ geplaatst, waarmee een hacker op afstand een willekeurige code kan uitvoeren. Een systeemreboot verwijdert deze ‘implant’, maar het lokale account dat de hacker heeft aangemaakt blijft daarna nog steeds actief. Hierdoor is het mogelijk om opnieuw een ‘implant’ te plaatsen. Deze wordt volgens Cisco geplaatst in usr/binos/conf/nginx-conf/cisco_service.conf en bestaat uit twee strings van respectievelijk 18 en 40 hexadecimale karakters.
Dit kun je doen om de zeroday te dichten
Cisco IOS XE-apparaten die zijn verbonden met het internet en waarbij de HTTP of HTTPS server functie is ingeschakeld zijn kwetsbaar voor de hierboven genoemde zeroday exploit. De aanvallers lijken misbruik te maken van een oude kwetsbaarheid die in 2021 is gepatcht: CVE-2021-1435. Het beveiligingsteam van Cisco heeft echter ook voorbeelden gezien waarbij een apparaat dat volledig up-to-date is werd overgenomen. Hoe dat mogelijk is kunnen de beveiligingsonderzoekers op dit moment nog niet zeggen.
Cisco heeft momenteel nog geen patch uitgebracht die deze exploit verhelpt. Daarom adviseert het technologiebedrijf om de webbeheerinterface op alle IOS XE-gebaseerde apparaten uit te schakelen, of ervoor te zorgen dat deze niet via het internet toegankelijk zijn. Tevens raadt het bedrijf aan om het netwerk te controleren op zogeheten Indicators of Compromise (IoC’s). Daarvoor kunnen eventuele syslog-berichten geanalyseerd worden op de aanwezigheid van verdachte verkeersstromen.
Tot slot is het volgens Cisco verstandig om betrokken apparatuur opnieuw op te starten. Een webshell die mogelijk is aangebracht, is niet persistent. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando’s uit te voeren. Cisco heeft een blog gepubliceerd met daarop instructies om eventuele besmetting vast te stellen.
Zeroday krijgt CVSS-score van 10
Deze zeroday werd op donderdag 28 september ontdekt nadat Cisco meldingen ontving over ‘vreemde activiteiten’ op apparaten bij klanten. Volgens het techbedrijf wordt deze kwetsbaarheid al zeker sinds 18 september door een onbekende threat actor gebruikt om toegang tot Cisco-apparatuur te krijgen. De exploit heeft de code CVE-2023-20198 gekregen.
Vanwege de impact die de kwetsbaarheid kan hebben op de bedrijfsvoering, heeft deze een CVSS-score van 10/critical gekregen. ‘CVSS’ staat voor Common Vulnerability Scoring System en geeft de ernst van een exploit aan. Hoe hoger dit getal, des te groter het risico is dat bedrijven lopen.
