.
Após uma espera de seis dias, a Cisco começou a lançar um patch para um bug crítico que criminosos exploraram para instalar implantes em milhares de dispositivos. Infelizmente, parece ter sido em grande parte inútil.
A falha no software IOS XE da gigante das redes, que permitiu aos criminosos sequestrar milhares dos switches e roteadores Cisco, surgiram pela primeira vez última segunda-feira. Na sexta-feira, a Cisco disse que esperava ter uma solução pronta no domingo, arruinando o fim de semana para muitos administradores.
A boa notícia: a Cisco cumpriu sua promessa de domingo e disponibilizou o primeira versão de software fixa17.9.4a, com mais atualizações em data ainda não revelada.
A má notícia: também no fim de semana, aqueles que exploravam as vulnerabilidades atualizaram o implante para evitar a detecção. Novos métodos de verificação mostram que milhares de dispositivos permanecem comprometidos.
Na segunda-feira, a Cisco atualizou seu comunicado de segurança para fornecer “orientações aprimoradas para detectar a presença do implante, após descobrir uma nova variante que dificulta a identificação de sistemas comprometidos”, disse um porta-voz. Strong The One.
Essa orientação, também Atualizada no blog do Cisco Talos sobre a exploração, inclui um comando curl que pode identificar variantes de implante empregando as novas verificações de cabeçalho HTTP dos invasores.
Como a Cisco observou em sua atualização original, na verdade havia dois dias zero no software IOS XE. Os invasores exploraram primeiro o CVE-2023-20198 para obter acesso aos dispositivos e emitir um comando de privilégio 15, criando assim uma conta de usuário local normal.
Em seguida, eles exploraram o CVE-2023-20273, um bug no recurso de interface da web que permitia ao usuário local elevar privilégios de root, gravar o implante no sistema de arquivos e sequestrar o dispositivo.
A primeira versão corrigida, 17.9.4a, aborda ambas as falhas, e atualizações para versões anteriores serão disponibilizadas, segundo a Cisco.
Até quinta-feira, cerca de 36.541 dispositivos Cisco foi comprometido, de acordo com a empresa de gerenciamento de exposição Censys. Isso foi mais de 5.000 a menos que no dia anterior.
E então, com o fim de semana chegando, o número de dispositivos comprometidos caiu para 1.200de acordo com a empresa de gerenciamento de superfície de ataque Onyphe, deixando os pesquisadores de segurança coçando a cabeça sobre o que aconteceu.
A empresa de segurança Fox-IT, parte do Grupo NCC, diz ter uma resposta: os desenvolvedores do implante simplesmente mudaram o código. “Observamos que o implante colocado em dezenas de milhares de dispositivos Cisco foi alterado para verificar um valor de cabeçalho HTTP de autorização antes de responder”, disseram os analistas. xeetado na segunda-feira.
“Isso explica a tão discutida queda nos sistemas comprometidos identificados nos últimos dias”, continuou. “Usando um método diferente de impressão digital, a Fox-IT identifica 37.890 dispositivos Cisco que permanecem comprometidos.”
A empresa também sugeriu que as empresas que tiveram um Cisco IOS XE WebUI exposto à Internet realizassem uma triagem forense e lançaram um ferramenta de digitalização e detecção no GitHub.
O diretor de tecnologia da VulnCheck, Jacob Baines, disse Strong The One que sua empresa alterou seu scanner para usar o método Fox-IT, “e estamos vendo essencialmente o que vimos na semana passada: milhares de dispositivos implantados”.
Baines disse estar “surpreso” que o invasor tenha modificado o implante em vez de abandonar a campanha.
“Normalmente, quando um invasor é pego, ele fica quieto e revisita os sistemas afetados quando a poeira baixa”, disse ele. “Este invasor está tentando manter o acesso a implantes que dezenas de empresas de segurança sabem que existem. Para mim, parece um jogo que eles não podem vencer”.
O implante atualizado parece ser “uma solução de curto prazo”, disse Baines, acrescentando que permitirá que os criminosos “mantenham os sistemas por mais alguns dias – e cumpram qualquer objetivo – ou apenas um paliativo até eles podem inserir um implante mais furtivo.” ®
.
