Cisco révèle en ce début de semaine l’existence d’une vulnérabilité de type zero-day qui touche tous les commutateurs et routeurs fonctionnant sous IOS XE, quand l’interface web est exposée à Internet. Sa note de gravité est maximale : 10/10.
En effet, la faille baptisée CVE-2023-20198 permet d’escalader des privilèges à distance sans authentification « pour donner le contrôle total de l’appareil compromis et permettre d’éventuelles activités ultérieures non autorisées ».
Aucun correctif n’existe à présent. Cisco recommande donc vivement à ses client·e·s de désactiver la fonction HTTP Server sur tous leurs systèmes en contact avec l’internet.
Cette recommandation fait écho aux conseils de l’agence américaine de cybersécurité et de sécurité des infrastructures sur la manière de réduire les risques liés aux interfaces de gestion exposées à l’internet. « Pour désactiver la fonction de serveur HTTP, utilisez la commande no ip http server ou no ip http secure-server en mode de configuration globale (…) Si le serveur HTTP et le serveur HTTPS sont tous deux utilisés, les deux commandes sont nécessaires pour désactiver la fonction de serveur http ».
« Nous travaillons sans relâche pour fournir un correctif et nous conseillons fortement à nos clients de prendre les mesures immédiates indiquées dans notre avis de sécurité », déclare Cisco qui « fournira une mise à jour sur l’état de notre enquête par le biais de l’avis de sécurité ».
Dans un billet de blog de Talos, son équipe de renseignement sur les menaces, la société fournit plus de détails sur la façon dont l’activité malveillante a été détectée et sur le code d’implant que les intrus ont utilisé.
Un rapport d’un client fait état d’un comportement étrange le 28 septembre. Une enquête plus poussée permet de découvrir une activité connexe dès le 18 septembre. Un utilisateur autorisé a créé un compte d’utilisateur local nommé « cisco_tac_admin » à partir d’une adresse IP suspecte. Le 12 octobre, Talos et le TAC découvrent une intrusion similaire : un utilisateur non autorisé créant un compte d’utilisateur local avec le nom « cisco_support » à partir d’une autre adresse IP suspecte. Les malfaiteurs ont déployé un implant qui leur permet d’exécuter des commandes au niveau du système ou de l’IOS. Bien que l’implant ne soit pas persistant, les comptes d’utilisateurs nouvellement créés avec des privilèges de niveau 15 (contrôle complet du routeur) restent actifs même après le redémarrage du système. Les criminels ont exploité la faille CVE-2021-1435, corrigée il y a deux ans, pour installer l’implant. « Nous avons vu des appareils entièrement patchés contre CVE-2021-1435 dont l’implant a été installé avec succès par le biais d’un mécanisme encore indéterminé ».