A támadók kihasználnak egy nemrégiben nyilvánosságra hozott súlyos zero-day hibát, amellyel céljuk, hogy rosszindulatú kódok beinjektálásával megfertőzzék és kompromittálják azokat. Biztonsági kutatók, több mint 34 000 publikusan is elérhető Cisco IOS XE eszközt azonosítottak. A Cisco IOS XE szoftvert futtató termékek listája magában foglalja a vállalati switcheket, aggregációs és ipari routereket, hozzáférési pontokat, vezeték nélküli vezérlőket és még sok mást is.
A fenyegetési információkat nyújtó VulnCheck szerint a maximális súlyosságú sérülékenység (CVE-2023-20198) széles körben kihasználásra került olyan támadásokban, amelyek a Cisco IOS XE rendszerekre irányultak, ahol a Web User Interface (Web UI) funkció be volt kapcsolva, és HTTP vagy HTTPS Server funkció is engedélyezve volt.
A VulnCheck bevizsgálta az interneten elérhető Cisco IOS XE webfelületeket, és felfedezett ezek között több ezer fertőzött hosztot. A cég kiadott egy szkennert is, amely ezeket a beültetéseket az érintett eszközökön felismeri.
"A Cisco nem említette meg a jelentésben, hogy ezek ezreken át terjednek az interneten lévő IOS XE rendszerek között. Ez rossz helyzet, mivel a jogosult hozzáférés valószínűleg lehetővé teszi a támadók számára, hogy figyeljék a hálózati forgalmat, belépjenek védett hálózatokba, és végezzenek számos közbeékelődési támadást" - mondta a VulnCheck CTO-ja, Jacob Baines.
A Cisco figyelmeztette ügyfeleit, hogy javítsák ki egy zero-day IOS és IOS XE szoftver sérülékenységet, amely megtalálására a támadók már rá is kaptak.
A sikeres kihasználás lehetővé teheti a támadó számára, hogy tetszőleges kódot hajtson végre, és teljes irányítást szerezzen az érintett rendszer felett, vagy az érintett rendszert újratöltse, ami szolgáltatás megtagadási (DoS) állapotot eredményez.A zero-day hiba minden olyan Cisco terméket érint, amelyek olyan sebezhető IOS vagy IOS XE szoftververziót futtatnak, amelyek a GDOI vagy G-IKEv2 protokollt engedélyezve használják.
A Meraki termékeket, valamint az IOS XR és NX-OS szoftvert futtató rendszereket nem érinti a CVE-2023-20109 kihasználását használó támadások.