Αυτή την εβδομάδα, η Cisco κυκλοφόρησε ενημερώσεις για την επιδιόρθωση μιας κρίσιμης ευπάθειας στο Cisco IOx application hosting environment που το καθιστούσε ευάλωτο σε επιθέσεις command injection. Προστατέψτε τον εαυτό σας και την επιχείρησή σας από πιθανές ζημιές, κατεβάζοντας αμέσως τη νεότερη ενημέρωση.
Η ευπάθεια CVE-2023-20076 ανακαλύφθηκε και αναφέρθηκε από τους ερευνητές ασφαλείας Sam Quinn και Kasimir Schulz στο Trellix Advanced Research Center και οφείλεται στο ελλιπές sanitization των parameters κατά τη διαδικασία ενεργοποίησης της εφαρμογής.
Δείτε επίσης: Nevada Ransomware: Στοχεύει τα Windows και VMware ESXi
Η ευπάθεια είναι σοβαρή γιατί μπορεί να γίνει επιτυχημένη εκμετάλλευση σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη και επιτρέπουν σε απομακρυσμένους επαληθευμένους επιτιθέμενους να εκτελούν εντολές με δικαιώματα root στο υποκείμενο λειτουργικό σύστημα.
“Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτήν την ευπάθεια αναπτύσσοντας και ενεργοποιώντας μια εφαρμογή στο Cisco IOx application hosting environment με ένα δημιουργημένο activation payload file“, εξηγεί η Cisco.
Η εταιρεία λέει ότι η ευπάθεια επηρεάζει τις συσκευές Cisco που εκτελούν λογισμικό IOS XE, αλλά μόνο εάν δεν υποστηρίζουν native docker.
Επιπλέον, επηρεάζονται τα ακόλουθα: 800 Series Industrial ISR routers, CGR1000 compute modules, IC3000 industrial compute gateways, IR510 WPAN industrial routers και Cisco Catalyst access points (COS-APs).
Η Cisco επιβεβαίωσε ότι η ευπάθεια δεν επηρεάζει Catalyst 9000 Series switches, IOS XR και NX-OS software, ή προϊόντα Meraki.
Persistence
Αξίζει να σημειωθεί ότι οι επιτιθέμενοι μπορούν να εκμεταλλευτούν αυτήν την ευπάθεια μόνο εάν έχουν πιστοποιημένη πρόσβαση διαχειριστή στα ευάλωτα συστήματα.
Δείτε επίσης: LockBit Green ransomware: Νέα έκδοση βασίζεται στον source code του Conti
Ωστόσο, οι ερευνητές του Trellix εξήγησαν ότι αυτό δεν είναι πολύ δύσκολο, αφού οι φορείς απειλών μπορούν να εκμεταλλευτούν άλλα σφάλματα που επιτρέπουν την κλιμάκωση των προνομίων ή μπορούν να χρησιμοποιήσουν διάφορες τακτικές για να αποκτήσουν admin credentials.
Για παράδειγμα, για να αποκτήσουν πρόσβαση διαχειριστή στις στοχευμένες συσκευές, μπορούν να χρησιμοποιήσουν:
Προεπιλεγμένα διαπιστευτήρια σύνδεσης: Πολλές συσκευές Cisco αποστέλλονται με το προεπιλεγμένο όνομα χρήστη και κωδικό πρόσβασης “cisco:cisco” ή “admin:admin”. Πολλοί χρήστες δεν αλλάζουν τα credentials, παρόλο που οι ειδικοί συνιστούν να μην αφήνουμε τα default passwords, ειδικά όταν είναι τόσο προβλέψιμα.
Phishing: Η αγαπημένη μέθοδος των hackers για τη συλλογή credentials. Εξαπατούν χρήστες ή υπαλλήλους να συνδεθούν σε ένα ψεύτικο router UI ή ζητούν να γίνει κλικ σε ένα σύνδεσμο στο login page για υποτιθέμενη ενημέρωση του firmware.
Social engineering: Οι επιτιθέμενοι εκμεταλλευόμενοι την ανθρώπινη αδυναμία και πείθουν τα θύματα να δώσουν τα credentials.
Μόλις τα έχουν στα χέρια του, μπορούν να εκμεταλλευτούν το CVE-2023-20076 για “απεριόριστη πρόσβαση, επιτρέποντας σε κακόβουλο κώδικα να κρύβεται στο σύστημα και να παραμένει (Persistence) σε επανεκκινήσεις και αναβαθμίσεις firmware“, όπως εξήγησαν οι ερευνητές.
“Η παραβίαση αυτού του μέτρου ασφαλείας σημαίνει ότι εάν ένας εισβολέας εκμεταλλευτεί αυτήν την ευπάθεια, το κακόβουλο πακέτο θα συνεχίσει να λειτουργεί έως ότου γίνει επαναφορά των εργοστασιακών ρυθμίσεων της συσκευής ή έως ότου διαγραφεί με μη αυτόματο τρόπο“.
Αυτό είναι δυνατό επειδή το command injection επιτρέπει την παράκαμψη των μέτρων που έχει θέσει η Cisco για να αποτρέψει το vulnerability persistence μεταξύ των επανεκκινήσεων του συστήματος ή των επαναφορών του συστήματος.
Δείτε επίσης: Google Fi: Παραβίαση δεδομένων επιτρέπει SIM swapping επιθέσεις
Η Ομάδα Αντιμετώπισης Περιστατικών Ασφάλειας Προϊόντων (PSIRT) της Cisco λέει ότι δεν βρήκε στοιχεία που να αποδεικνύουν ότι αυτή η ευπάθεια έχει ήδη χρησιμοποιηθεί από εγκληματίες του κυβερνοχώρου.
Οι οργανισμοί που χρησιμοποιούν συσκευές που επηρεάζονται από αυτή την ευπάθεια, θα πρέπει να ενημερώσουν αμέσως στο πιο πρόσφατο firmware. Είναι επίσης σημαντικό να ελέγξουν εάν υπάρχουν εγκατεστημένα ή εκτελούμενα μη κανονικά containers στο περιβάλλον τους. Εάν δεν χρησιμοποιούν containers, καλό είναι να απενεργοποιήσουν το IOx (container framework).
Οι ευπάθειες σε συστήματα (όπως αυτή που διόρθωσε η Cisco) αποτελούν σοβαρό κίνδυνο για τους οργανισμούς που επιθυμούν να προστατευτούν από κακόβουλους παράγοντες. Με τη λήψη μέτρων, όπως η εφαρμογή ασφαλών πρακτικών ανάπτυξης λογισμικού, η τακτική ενημέρωση και η διενέργεια τακτικών ελέγχων των συστημάτων τους, οι οργανισμοί μπορούν να διασφαλίσουν ότι προστατεύονται από τις πιθανές απειλές που προέρχονται από την εκμετάλλευση ευπαθειών.
Μπορείτε να βρείτε τις συμβουλές ασφαλείας και τις πληροφορίες ενημέρωσης κώδικα της Cisco εδώ.
Πηγή: www.bleepingcomputer.com