Technischer Support
Dokumentation
Anmeldung
Kontakt
Cisco hat zwei Sicherheitslücken mit den Bezeichnungen CVE-2023-20198 und CVE-2023-20273 geschlossen, die von Hackern aktiv ausgenutzt werden, um Tausende von Geräten zu kompromittieren. Der Patch wurde zur Verfügung gestellt, nachdem die Angreifer diese Schwachstellen als Zero-Day-Angriffe ausgenutzt hatten, um die vollständige Kontrolle über 50.000 Cisco IOS XE-Hosts zu erlangen.
Mehrere Sicherheitslücken in Cisco IOS XE
Bei dem ersten Einbruch wurde die Sicherheitslücke CVE-2023-20198 ausgenutzt, wodurch sich der Angreifer einen ersten Zugang verschaffen konnte. Anschließend führten sie einen "Privilege-15-Befehl" aus, um eine lokale Benutzer- und Passwortkombination zu erstellen, die ihnen Zugriff mit Standardbenutzerrechten gewährte.
Anschließend nutzte der Angreifer einen weiteren Aspekt der Web-Benutzeroberfläche (UI), um sein Eindringen voranzutreiben, indem er den neu erstellten lokalen Benutzer dazu nutzte, seine Berechtigungen auf Root zu erhöhen. Dies ermöglichte es ihnen, ein Implantat in das Dateisystem zu schreiben. Cisco hat dieses Problem als CVE-2023-20273 bezeichnet.
CVE-2023-20198 wurde ein CVSS-Score von 10,0 zugewiesen, während CVE-2023-20273 einen CVSS-Score von 7,2 erhielt.
Cisco weist darauf hin, dass beide Schwachstellen ausgenutzt werden können, wenn die Web-UI-Funktion (HTTP-Server) des Geräts aktiviert ist. Diese Aktivierung kann durch die Ausführung von Befehlen wie "ip http server" oder "ip http secure-server" erreicht werden.
Diese Vorfälle weisen auf kritische Authentifizierungsschwachstellen in den betroffenen Systemen hin, bei denen Angreifer die Standardkontrollen umgehen und ihren Zugriff durch die Erstellung lokaler Benutzer und den Missbrauch von Privilegien ausweiten konnten.
Während sich der primäre Angriffsvektor in diesem Fall um Authentifizierungsfehler dreht, ist es wichtig zu wissen, dass Cisco IOS XE in der Vergangenheit auch Probleme mit Schwachstellen im Zusammenhang mit Speicherkorruption hatte. Solche Schwachstellen können, wenn sie ausgenutzt werden, die Ausführung von beliebigem Code oder den Absturz von Geräten ermöglichen, was sie für die Aufrechterhaltung der Sicherheit der Netzwerkinfrastruktur ebenso kritisch macht.
Darüber hinaus berichtet der Hersteller von Netzwerkgeräten, dass der böswillige Akteur die kritische Schwachstelle nutzte, um sich zunächst Zugang zum Gerät zu verschaffen und anschließend einen "Privileg 15-Befehl" auszuführen, um ein lokales Standardkonto zu erstellen.
Während dieser Angriff in erster Linie Web-UI- und Authentifizierungsschwachstellen ausnutzte, gibt es auch umfassendere Risiken wie Bedrohungen auf Firmware-Ebene, z. B. Logofail-Schwachstellenzeigen, wie wichtig es ist, alle Ebenen der Netzwerkinfrastruktur zu sichern.
Schlussfolgerung
Cisco hat einen deutlichen Hinweis auf eine schwerwiegende, nicht gepatchte Sicherheitslücke herausgegeben, die derzeit in der IOS XE-Softwareumgebung aktiv ausgenutzt wird. Diese Zero-Day-Schwachstelle in der Web-Benutzeroberfläche (UI) wird als CVE-2023-20198 bezeichnet und wurde auf der CVSS-Skala (Common Vulnerability Scoring System) mit dem höchstmöglichen Schweregrad 10,0 eingestuft.
Es ist wichtig zu beachten, dass diese Schwachstelle ausschließlich Unternehmensnetzwerke betrifft, in denen die Web-UI-Funktion aktiv und dem Internet oder nicht vertrauenswürdigen Netzwerken ausgesetzt ist.
Zu den Quellen für diesen Artikel gehört ein Artikel von Bleeping Computer.
