Бесплатно Экспресс-аудит сайта:

04.02.2023

Cisco исправила ошибку, позволяющую сохранять бэкдор даже при обновлении

На этой неделе Cisco выпустила обновления безопасности для устранения опасной уязвимости в среде размещения приложений Cisco IOx, которую можно использовать для атак с внедрением команд.

Уязвимость CVE-2023-20076 (CVSS: 7.2) связана с неполной очисткой параметров, передаваемых в процессе активации приложения. Об этом сообщили исследователи безопасности из Trellix Advanced Research Center.

Ошибка позволяет удаленному авторизованному злоумышленнику, не взаимодействуя с пользователем, выполнять команды с root-разрешениями в базовой операционной системе. Хакер может развернуть и активировать приложение в среде размещения Cisco IOx с помощью созданного файла полезной нагрузки активации.

Компания заявляет, что уязвимость затрагивает следующие устройства Cisco:

  • устройства на базе IOS XE, но только, если они не поддерживают собственный докер;
  • промышленные маршрутизаторы ISR серии 800;
  • вычислительные модули CGR1000;
  • промышленные вычислительные шлюзы IC3000;
  • промышленные маршрутизаторы IR510 WPAN;
  • точки доступа Cisco Catalyst (COS-AP).

Компания также подтвердила, что уязвимость CVE-2023-20076 не затрагивает коммутаторы Catalyst серии 9000, программное обеспечение IOS XR и NX-OS или продукты Meraki.

Сохраняется при перезагрузке

Злоумышленники могут использовать эту уязвимость только в том случае, если они имеют аутентифицированный административный доступ к уязвимым системам. Однако, исследователи Trellix объяснили, что киберпреступники используют другие недостатки, позволяющие повысить привилегии, или могут использовать различные тактики для получения учетных данных администратора.

Например, чтобы получить доступ администратора к целевым устройствам, они могут использовать:

  • Учетные данные для входа по умолчанию: многие устройства Cisco поставляются с именем пользователя и паролем по умолчанию «cisco:cisco» или «admin:admin», которые многие пользователи не могут изменить;
  • Фишинг: хакеры могут обманным путем заставить сотрудников войти в поддельный пользовательский интерфейс маршрутизатора или подделать электронное письмо от самого маршрутизатора со ссылкой на страницу входа «с запросом на обновление прошивки»;
  • Социальную инженерию: злоумышленники убеждают пользователя передать учетные данные.

По словам экспертов, после получения учетных данных киберпреступник может использовать CVE-2023-20076 для получения «неограниченного доступа, позволяющего вредоносному коду скрываться в системе и сохраняться при перезагрузках и обновлениях прошивки. Вредоносный пакет будет работать до тех пор, пока устройство не будет сброшено до заводских настроек или пока оно не будет удалено вручную.

Группа реагирования на инциденты безопасности продуктов Cisco (PSIRT) заявляет, что не обнаружила доказательств того, что эта уязвимость используется в реальных условиях.