Krytyczna podatność w urządzeniach rynkowego lidera. Łatka dopiero jutro, sprawdź jak się chronić
CERT Polska działający przy komputerowej sieci akademickiej NASK wydał ważne ostrzeżenie adresowane do posiadaczy i administratorów urządzeń sieciowych Cisco. Odnaleziono groźną i wciąż niezałataną lukę, o której wiadomo już, że jest wykorzystywana ataków. Znane jest też tymczasowe rozwiązanie problemu.
Przy Cisco działa efekt skali
Urządzenia firmy Cisco znajdziemy w niemal każdej infrastrukturze sieciowej, od domowego Wi-Fi po centra danych. Nawet jeśli nie masz żadnego w domu, to z dużą dozą prawdopodobieństwa gdzieś na drodze, dzieki której utrzymujesz połączenie z Siecią działa przynajmniej jedno urządzenie tego producenta . Cisco to także producent oprogramowania oraz jeden z liderów działalności szkoleniowej i certyfikacyjnej w obszarze teleinformatyki.
Taka skala działalności, dzięki której korporacja Cisco bez kozery nazywa samą siebie liderem w zakresie IT i sieci, sprawia, że jakiekolwiek problemy z bezpieczeństwem czy to sprzętu, czy oprogramowania automatycznie przyjmują gigantyczną skalę. Jeden drobny błąd w oprogramowaniu sprawia, że narażone na wykorzystanie podatności są setki milionów urządzeń. Przed kolejną dziurą, szczególnie groźną, bo aktywnie wykorzystywaną już przez hakerów, przestrzega polski CERT .
Groźna podatność w Cisco IOS XE
Trwające ataki są dokonywane z wykorzystaniem dwóch podatności. Obie mają już swoje sygnatury i klasyfikację w skali CVSS. I niestety nie mamy dobrych wieści: podatność CVE-2023-20198 jest krytyczna i została oceniona najwyżej jak, tylko się da – na 10 . Nieco mniejsze zagrożenie stanowić ma CVE-2023-20273, którą oceniono na 7.2. Mamy więc do czynienia z niezwykle groźną sytuacją.
Błędy pozwalające na atak na urządzenia Cisco tkwią w systemie operacyjnym instalowanym na Cisco, IOS XE. Konkretniej chodzi o przeglądarkowy interfejs pozwalający na podejmowanie działań administracyjnych – zagrożone są wszystkie urządzenia, które mają włączoną taką metodę dostępu do infrastruktury.
Wykorzystanie podatności CVE-2023-20198 pozwala na wydanie 15 różnych komend, w tym na założenie sobie przez napastnika nowego lokalnego konta. Po przejściu do konta dochodzi do wykorzystania podatności CVE-2023-20273, która pozwala na eskalację uprawnień aż do roota i pozostawienia implantu w postaci pliku konfiguracyjnego. W ten sposób napastnik przejmuje całkowitą kontrolę nad urządzeniem .
Jak się chronić przed atakiem?
Niestety dopiero na jutro zaplanowana jest publikacja łatki rozwiązującej problem, który dotyczy około 40 tysięcy urządzeń. W tej chwili
Cisco zaleca całkowite wyłączenie funkcji serwera HTTP w urządzeniach sieciowych działających na Cisco IOS XE
, które są podłączone do internetu. Można także sprawdzić, czy dochodziło już do prób wykorzystania luk. Szczegóły na
stronach CERT Polska
.