Bedrohungsakteure nutzen Zero-Day-Schwachstellen, da diese Lücken den Softwareentwicklern unbekannt sind und damit besonders effektiv für Angriffe sind. Solche Lücken erlauben es, Sicherheitsmaßnahmen zu umgehen und nicht autorisierten Zugriff auf Systeme zu erhalten.
Eine solche Schwachstelle, identifiziert als CVE-2023-20198, wurde im Web UI-Feature von Cisco IOS XE entdeckt. Sie betrifft Geräte, die HTTP/HTTPS-Serverfunktionen besitzen, wenn sie mit dem Internet oder nicht vertrauenswürdigen Netzwerken verbunden sind. Trotz der Vorteile des Web UI für die Systemverwaltung wird dringend davon abgeraten, es im Internet freizugeben.
Cisco erkannte verdächtige Aktivitäten auf einem Kunden-Gerät ab dem 18. September. Hierbei wurde ein Konto namens ‚cisco_tac_admin‘ von einer ungewöhnlichen IP-Adresse erstellt. Am 1. Oktober endete diese Aktivität. Ein weiterer Vorfall wurde am 12. Oktober beobachtet, bei dem ein ‚cisco_support‘-Konto von einer anderen IP-Adresse aus erstellt wurde.
Ein wesentlicher Bestandteil dieser Aktivität war das Einsetzen eines Implantats, welches die Errichtung eines neuen Webserver-Endpunkts für Befehlsausführungen ermöglichte. Das Implantat ist nicht dauerhaft, erstellt jedoch Konten mit Administratorrechten.
Die Schwachstelle CVE-2023-20198 hat eine kritische CVSS-Bewertung von 10, was einem Angreifer volle Kontrolle über den Router ermöglicht. Interessanterweise wurde zur Installation des Implantats auch die Schwachstelle CVE-2021-1435 ausgenutzt, und das sogar auf vollständig gepatchten Geräten.
Empfehlung: Betroffene Organisationen sollten den Anweisungen von Cisco’s PSIRT folgen und insbesondere auf ungewöhnliche Benutzer achten. Ein spezifizierter Befehl kann verwendet werden, um das Implantat zu erkennen. Wenn dieser Befehl eine hexadezimale Zeichenkette zurückgibt, ist das Implantat vorhanden. Dabei ist zu beachten, dass dieser nur funktioniert, wenn der Webserver neu gestartet wurde.
Indikatoren: IP-Adressen: 5.149.249[.]74 154.53.56[.]231
Benutzernamen: cisco_tac_admin cisco_support
