Öffentlicher Exploit-Code für die kritische Schwachstelle in Cisco IOS XE, bekannt als CVE-2023-20198, ist nun verfügbar. Diese wurde als Zero-Day verwendet, um zehntausende Geräte zu hacken. Obwohl Cisco Patches für die meisten Versionen seiner IOS XE Software herausgegeben hat, zeigen Internet-Scans, dass noch tausende Systeme kompromittiert sind.
Die Sicherheitsfirma Horizon3.ai hat Details darüber veröffentlicht, wie Angreifer die Authentifizierung bei anfälligen Cisco IOS XE Geräten umgehen und einen neuen Benutzer mit vollständigen Rechten erstellen können. Der Exploit nutzt eine Lücke im Web Services Management Agent (WMSA) Service in iosd, einem leistungsstarken Binary in Cisco’s IOS XE.
Einmal ausgenutzt, kann ein Angreifer vollständige Kontrolle über das Gerät erlangen und könnte schädliche Implantate auf die Festplatte schreiben, ohne eine weitere Schwachstelle ausnutzen zu müssen.
LeakIX, eine Plattform für online freigelegte Dienste, bestätigte die Effektivität des Exploits und konnte beobachten, wie Bedrohungssuchende ihre Honeypots angriffen.
Cisco hat am 30. Oktober Sicherheitsupdates für CVE-2023-20198 angekündigt, wobei derzeit nur die Version 17.3 von der Sicherheitslücke betroffen ist. Andere Versionen wurden bereits gepatcht und stehen zum Download bereit.
Trotz der veröffentlichten Patches zeigen Daten von Censys, dass Ende Oktober immer noch rund 28.000 Cisco IOS XE Hosts weltweit Anzeichen von Kompromittierungen aufwiesen. Schätzungen zufolge wurden kurz nach der Offenlegung der Schwachstelle rund 60.000 Geräte mit einem schädlichen Implantat infiziert. Dieser Wert sank jedoch plötzlich, als viele gehackte Geräte nach einer Änderung des schädlichen Codes für Scans unsichtbar wurden.
Abschließend ist dringend geboten, dass Organisationen ihre Cisco-Geräte umgehend aktualisieren, um sich vor dieser schwerwiegenden Bedrohung zu schützen.