Duizenden Cisco IOS XE-systemen inmiddels besmet met malware

[Captain Kirk]

Kwaadwillenden buiten een zerodaylek (CVE-2023-20198) in Cisco IOS XE-systemen op grote schaal uit. Duizenden systemen zijn inmiddels van malware voorzien. Hiervoor waarschuwt VulnCheck, dat een internetscan uitvoerde. CVE-2023-20198 is een kwetsbaarheid die aanvallers de mogelijkheid geeft Cisco IOS XE volledig over te nemen.

Het besturingssysteem draait op switches en routers van het bedrijf. Het beveiligingslek zit in de webinterface van IOS XE. Aanvallers kunnen via het lek een account met 'privilege 15' aanmaken en zo de controle over het systeem overnemen. Dit maakt het mogelijk een implant te installeren, die communicatie met het gecompromitteerde systeem mogelijk maakt.

"Dit is een slechte situatie, aangezien verhoogde toegang op IOS XE de aanvallers waarschijnlijk toestaat om netwerkverkeer te monitoren, of naar beschermde netwerken te springen, en allerlei man-in-the-middle-aanvallen uit te voeren", zegt Jacob Baines van VulnCheck

Het securitybedrijf heeft een scanner beschikbaar gemaakt waarmee beheerders van Cisco IOS XE-systemen kunnen controleren of hun apparaten zijn voorzien van een implant. Het bedrijf noemt het van groot belang vast te stellen of systemen gecompromitteerd zijn en actie te ondernemen indien een implant is ontdekt.

Een beveiligingsupdate van Cisco voor het probleem is nog altijd niet voorhanden, wel een mitigerende maatregel die systemen kan beschermen. De Amerikaanse overheid heeft federale instanties in het land verplicht om deze maatregel uiterlijk 20 oktober te hebben doorgevoerd.

 

bron: https://www.security.nl