Alerte de sécurité Cisco IOS XE : la vulnérabilité Zero-Days est corrigée
Cisco a corrigé deux vulnérabilités, dénommées CVE-2023-20198 et CVE-2023-20273, que les pirates informatiques exploitent activement pour compromettre des milliers d'appareils. Le correctif a été mis à disposition après que les pirates ont exploité ces problèmes en tant qu'attaques zero-day pour prendre le contrôle total de 50 000 hôtes Cisco IOS XE.
Vulnérabilités multiples dans Cisco IOS XE
La violation initiale a impliqué l'exploitation de CVE-2023-20198, fournissant à l'attaquant les moyens d'établir un accès initial. Par la suite, il a exécuté une commande "privilege 15" pour créer une combinaison d'utilisateur local et de mot de passe, ce qui lui a permis d'accéder au système avec les privilèges d'un utilisateur standard.
Ensuite, l'attaquant a exploité un autre aspect de la fonctionnalité de l'interface utilisateur web pour poursuivre son intrusion, en s'appuyant sur l'utilisateur local nouvellement créé pour élever ses privilèges au niveau de l'utilisateur root. Cela lui a permis d'écrire un implant dans le système de fichiers. Cisco a désigné ce problème sous le nom de CVE-2023-20273.
CVE-2023-20198 a reçu un score CVSS de 10.0, tandis que CVE-2023-20273 a reçu un score CVSS de 7.2.
Cisco signale que les deux vulnérabilités peuvent être exploitées si la fonction de l'interface web (serveur HTTP) de l'appareil est activée. Cette activation peut être réalisée par l'exécution de commandes telles que "ip http server" ou "ip http secure-server".
En outre, le fabricant d'équipements de réseau signale que l'acteur malveillant a utilisé la faille critique pour établir un accès initial à l'appareil, puis a exécuté une "commande à 15 privilèges" pour créer un compte local standard.
Conclusion
Cisco a publié un avis sévère concernant une grave vulnérabilité de sécurité non corrigée qui est actuellement activement exploitée dans la nature au sein de l'environnement logiciel IOS XE. Cette vulnérabilité de type "zero-day", qui trouve son origine dans la fonctionnalité de l'interface utilisateur web (UI), est identifiée comme CVE-2023-20198 et s'est vu attribuer la note de gravité la plus élevée possible, à savoir 10.0, sur l'échelle CVSS (Common Vulnerability Scoring System, système commun d'évaluation des vulnérabilités).
Il est essentiel de noter que cette vulnérabilité affecte exclusivement les équipements de réseau d'entreprise où la fonction d'interface utilisateur Web est active et exposée à l'internet ou à des réseaux non fiables.
Les sources de cet article comprennent un article de Bleeping Computer.