Опубликован эксплоит для уязвимости в Cisco IOS XE - «Новости» » Интернет технологии
sitename
Oracle в частном порядке уведомляет клиентов об утечке данных - «Новости»
Oracle в частном порядке уведомляет клиентов об утечке данных - «Новости»
 В Positive Technologies нашли новый вектор эксплуатации уязвимостей в процессорах Intel - «Новости»
В Positive Technologies нашли новый вектор эксплуатации уязвимостей в процессорах Intel - «Новости»
 В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»
В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»
 Каскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs - «Новости»
Каскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs - «Новости»
 Уязвимость в Google Quick Share позволяла передавать файлы без согласия пользователя - «Новости»
Уязвимость в Google Quick Share позволяла передавать файлы без согласия пользователя - «Новости»
 Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
 Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
 Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
 «Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
«Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
 Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Опубликован эксплоит для уязвимости в Cisco IOS XE - «Новости»

✔Опубликован эксплоит для уязвимости в Cisco IOS XE - «Новости»

02 ноября 2023 686 Новости / Текст / Изображения / Заработок / Отступы и поля / Преимущества стилей / Интернет и связь / Вёрстка 0

В открытом доступе появился PoC-эксплоит для критической уязвимости в Cisco IOS XE (CVE-2023-20198), которая уже использовалась злоумышленниками для взлома десятков тысяч устройств. Исследователи ожидают, что теперь атак станет еще больше.



CVE-2023-20198


С сентября 2023 года устройства Cisco под управлением IOS XE находятся под массовыми атаками из-за недавно обнаруженных 0-day уязвимостей CVE-2023-20198 и CVE-2023-20273.


Злоумышленники используют баги CVE-2023-20198 и CVE-2023-20273 для проникновения на уязвимые устройства и создания привилегированных учетных записей (с наивысшим уровнем привилегий 15), а затем получают root-права и устанавливают в систему написанный на Lua бэкдор, который позволяет удаленно выполнять команды.


Обе уязвимости можно эксплуатировать только в том случае, если на устройстве включена функция веб-интерфейса (HTTP-сервер), что можно осуществить через ip http server или ip http secure-server, и устройство подключено к интернету или ненадежной сети.


В конце октября количество скомпрометированных устройств, на которых обнаруживался Lua-имплантат, превысило 50 000, но потом резко пошло на спад. Исследователи обнаруживали лишь 100-1000 взломанных девайсов, в зависимости от результатов разных сканирований.


Оказалось, злоумышленники, стоящие за этими атаками, поняли свою ошибку (их имплантат слишком легко обнаруживался удаленно), и вредоносный код на десятках тысяч взломанных устройств был «изменен, чтобы проверять значение HTTP-заголовка авторизации перед ответом».


Аналитики компании Fox-IT сообщали, что по состоянию на конец октября 2023 года заражены около 38 000 хостов Cisco IOS XE.



Исследователи из компании Horizon3.ai поделились подробностями о том, как злоумышленник может обойти аутентификацию на устройствах Cisco IOS XE, уязвимых перед CVE-2023-20198. В техническом отчете компании показано, что хакеры могут использовать уязвимость для создания нового пользователя с наивысшим уровнем привилегий 15, который обеспечивает полный контроль над устройством.





Эксплоит был разработан благодаря информации, полученной с помощью ханипота киберкриминалистов из команды SECUINFRA.


Horizon3.ai объясняет, что злоумышленник может закодировать HTTP-запрос к службе Web Services Management Agent (WMSA) в iosd — бинарном файле IOS XE, который может генерировать конфигурационный файл для OpenResty (сервера на базе Nginx с поддержкой Lua-скриптов), используемый службой webui, уязвимой перед CVE-2023-20198.


«Суть уязвимости кроется в первой строке запроса POST /%2577ebui_wsma_HTTP. Хитрая кодировка webui_wsma_http обходит согласования Nginx и позволяет обратиться к сервису WMSA в iosd», — пишут эксперты.


WSMA позволяет выполнять команды через SOAP-запросы, в том числе и те, которые дают доступ к функции конфигурации, позволяющей создавать пользователей с высокими привилегиями в системе. Тестируя свой эксплоит, исследователи смогли создать нового пользователя с привилегиями 15-го уровня, видимого в интерфейсе управления устройством. После этого  злоумышленник получает полный контроль над устройством и может внедрять вредоносные импланты, не прибегая к использованию других багов.


Специалисты LeakIX, специализирующиеся на сборе информации о незащищенных онлайн-сервисах, подтверждают, что эксплоит, который наблюдали в SECUINFRA, может использоваться для успешного взлома уязвимых устройств Cisco IOS XE.  Кроме того, ханипоты LeakIX для Cisco IOS XE были атакованы злоумышленникам, что позволило исследователям увидеть команды, выполняемые на устройствах.




Так, В PCAP-файле сессии, видно, что хакеры выполняли следующие команды для разведки и сбора информации, чтобы обнаружить важные цели:

  • show ip interface brief;

  • show ip dns view;

  • show ip name-servers.


Стоит отметить, что в начале текущей недели разработчики Cisco обновили свой бюллетень безопасности, посвященный CVE-2023-20198, сообщив об обновлениях для IOS XE, связанных с этой уязвимостью. Сообщается, что на данный момент только версия 17.3  все еще уязвима перед этим багом, и компания устранила проблему в обновлениях Software Maintenance Updates (SMU).

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В открытом доступе появился PoC-эксплоит для критической уязвимости в Cisco IOS XE (CVE-2023-20198), которая уже использовалась злоумышленниками для взлома десятков тысяч устройств. Исследователи ожидают, что теперь атак станет еще больше. CVE-2023-20198 С сентября 2023 года устройства Cisco под управлением IOS XE находятся под массовыми атаками из-за недавно обнаруженных 0-day уязвимостей CVE-2023-20198 и CVE-2023-20273. Злоумышленники используют баги CVE-2023-20198 и CVE-2023-20273 для проникновения на уязвимые устройства и создания привилегированных учетных записей (с наивысшим уровнем привилегий 15), а затем получают root-права и устанавливают в систему написанный на Lua бэкдор, который позволяет удаленно выполнять команды. Обе уязвимости можно эксплуатировать только в том случае, если на устройстве включена функция веб-интерфейса (HTTP-сервер), что можно осуществить через ip http server или ip http secure-server, и устройство подключено к интернету или ненадежной сети. В конце октября количество скомпрометированных устройств, на которых обнаруживался Lua-имплантат, превысило 50 000, но потом резко пошло на спад. Исследователи обнаруживали лишь 100-1000 взломанных девайсов, в зависимости от результатов разных сканирований. Оказалось, злоумышленники, стоящие за этими атаками, поняли свою ошибку (их имплантат слишком легко обнаруживался удаленно), и вредоносный код на десятках тысяч взломанных устройств был «изменен, чтобы проверять значение HTTP-заголовка авторизации перед ответом». Аналитики компании Fox-IT сообщали, что по состоянию на конец октября 2023 года заражены около 38 000 хостов Cisco IOS XE. Исследователи из компании Horizon3.ai поделились подробностями о том, как злоумышленник может обойти аутентификацию на устройствах Cisco IOS XE, уязвимых перед CVE-2023-20198. В техническом отчете компании показано, что хакеры могут использовать уязвимость для создания нового пользователя с наивысшим уровнем привилегий 15, который обеспечивает полный контроль над устройством. Эксплоит был разработан благодаря информации, полученной с помощью ханипота киберкриминалистов из команды SECUINFRA. Horizon3.ai объясняет, что злоумышленник может закодировать HTTP-запрос к службе Web Services Management Agent (WMSA) в iosd — бинарном файле IOS XE, который может генерировать конфигурационный файл для OpenResty (сервера на базе Nginx с поддержкой Lua-скриптов), используемый службой webui, уязвимой перед CVE-2023-20198. «Суть уязвимости кроется в первой строке запроса POST /%77ebui_wsma_HTTP. Хитрая кодировка webui_wsma_http обходит согласования Nginx и позволяет обратиться к сервису WMSA в iosd», — пишут эксперты. WSMA позволяет выполнять команды через SOAP-запросы, в том числе и те, которые дают доступ к функции конфигурации, позволяющей создавать пользователей с высокими привилегиями в системе. Тестируя свой эксплоит, исследователи смогли создать нового пользователя с привилегиями 15-го уровня, видимого в интерфейсе управления устройством. После этого злоумышленник получает полный контроль над устройством и может внедрять вредоносные импланты, не прибегая к использованию других багов. Специалисты LeakIX, специализирующиеся на сборе информации о незащищенных онлайн-сервисах, подтверждают, что эксплоит, который наблюдали в SECUINFRA, может использоваться для успешного взлома уязвимых устройств Cisco IOS XE. Кроме того, ханипоты LeakIX для Cisco IOS XE были атакованы злоумышленникам, что позволило исследователям увидеть команды, выполняемые на устройствах. Так, В PCAP-файле сессии, видно, что хакеры выполняли следующие команды для разведки и сбора информации, чтобы обнаружить важные цели: show ip interface brief; show ip dns view; show ip name-servers. Стоит отметить, что в начале текущей недели разработчики Cisco обновили свой бюллетень безопасности, посвященный CVE-2023-20198, сообщив об обновлениях для IOS XE, связанных с этой уязвимостью. Сообщается, что на данный момент только версия 17.3 все еще уязвима перед этим багом, и компания устранила проблему в обновлениях Software Maintenance Updates (SMU).
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: