La faille de sécurité zero day de Cisco CVE-2023-20198 est actuellement exploitée sur des milliers de commutateurs et routeurs tournant IOS XE, d’après l’analyste de cyber-menaces VulnCheck. Or, cette vulnérabilité critique permet un contrôle total du système en donnant aux pirates un accès de niveau de privilège 15.
« La situation est grave ». The Register rapporte les propos de Jacob Baines, directeur technique de VulnCheck, dont l’équipe a « analysé les interfaces web Cisco IOS XE tournées vers l’internet et trouvé des milliers d’hôtes implantés ». « L’implant n’est pas un outil standard, il est adapté à IOS XE (…) Le fait que l’attaquant ait pu développer l’implant et l’installer à grande échelle indique qu’il s’agit d’un acteur très sophistiqué qui travaille à grande échelle. »
Et de préciser : « L’implant est basé sur le langage de programmation Lua et se compose de 29 lignes de code. Il envoie une requête HTTP POST spécifique à l’appareil. Celle-ci renvoie une chaîne hexadécimale de 18 caractères codée en dur dans l’implant. Cette chaîne sert d’authentification aux attaquant·e·s pour exécuter des commandes IOX au niveau de privilège le plus élevé ».
VulnCheck vient de partager en ligne le scanner qu’il a utilisé pour trouver des systèmes implantés sur l’internet. Il se trouve sur GitHub.
Pour rappel, la faille de sécurité CVE-2023-20198 est classée 10 par CVSS et n’est toujours pas corrigée à ce jour. Cisco recommande de désactiver immédiatement la fonction HTTP Server (webui) sur tous les systèmes IOS XE connectés à Internet.