Эксплойт для критической уязвимости CVE-2023-20198 в Cisco IOS XE, использовавшийся для взлома десятков тысяч устройств, стал общедоступным. Cisco выпустила исправления для большинства версий IOS XE, однако тысячи систем по-прежнему скомпрометированы.
Исследователи из компании Horizon3.ai раскрылиметодику, с помощью которой атакующий может обойти аутентификацию на уязвимых устройствах Cisco IOS XE. Специалисты показали, как злоумышленники могут использовать уязвимость высокой степени опасности для создания нового пользователя с правами уровня 15 (доступны все команды), что обеспечивает полный контроль над устройством.
Создание эксплойта стало возможным благодаря информации, полученной из приманки (honeypot), которая была установлена командой SECUINFRAдля задач цифровой криминалистики и реагирования на инциденты.
Cisco обновила свой бюллетень безопасности для CVE-2023-20198, объявив о выпуске обновлений для IOS XE, устраняющих уязвимость. В настоящий момент версия 17.3 остается единственной, все еще подверженной проблеме, так как новый релиз еще не доступен. Компания также устранила проблему в обновлениях обслуживания программного обеспечения (Software Maintenance Updates, SMU). Новые версии программного обеспечения доступны в Центре загрузки ПО Cisco.
По данным Shodan, угроза может затронуть до 80 000 устройств, подключенных к сети, но это число внезапно уменьшилось вскоре после того, как многие взломанные устройства стали невидимыми, когда хакеры изменили вредоносный код, добавив проверку заголовка авторизации перед ответом. По состоянию на 26 октября, в сети обнаружено около 28 900 хостов Cisco IOS XE с признаками компрометации.