CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Cisco avertizează asupra unui nou zero-day IOS XE exploatat în atacuri

17 octombrie 2023

https://www.bleepingcomputer.com

Cisco avertizeaza administratorii cu privire la un nou zero-day critic ce evită etapa autentificării în software-ul IOS XE, care permite atacatorilor neautentificați să obțină privilegii complete de administrator și să preia controlul complet de la distanță asupra router-elor și switch-urilor afectate.

Compania afirma că vulnerabilitatea critică (urmărită ca CVE-2023-20198 și care încă așteaptă o actualizare) afectează doar dispozitivele care rulează cu funcția Web User Interface (Web UI) activă, care au și funcția HTTP sau HTTPS Server activă.

Cisco a identificat activități din 18 septembrie, în urma unor investigații suplimentare privind atacurile. Activitatea malițioasă a implicat crearea de către un utilizator autorizat a unui cont de utilizator local cu numele cisco_tac_admin de la o adresă IP suspectă (5.149.249[.]74).

Compania a descoperit o activitate suplimentară legată de exploatarea CVE-2023-20198 pe 12 octombrie, când un cont de utilizator local cisco_support a fost creat de la o a doua adresă IP suspectă (154.53.56[.]231).

Compania sfătuiește administratorii să dezactiveze funcția de server HTTP pe sistemele cu acces la internet, ceea ce ar elimina vectorul de atac și ar bloca atacurile primite.

Pentru a dezactiva caracteristica Server HTTP, utilizați comanda no ip http server sau no ip http secure-server în modul de configurare globală (global configuration).

După dezactivarea funcției HTTP Server, utilizați comanda copy running-configuration startup-configuration pentru a salva configurația de funcționare.

De asemenea, se recomandă cu tărie identificarea de conturi de utilizator suspecte sau create recent ca potențiali indicatori ai unei activități malițioase.

O metodă de detectare a malware-ului pe dispozitivele Cisco IOS XE compromise presupune rularea următoarei comenzi, unde spațiul rezervat „DEVICEIP” reprezintă adresa IP care face obiectul investigației:

  • curl -k -X POST „https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1”

Sursă: https://www.bleepingcomputer.com/news/security/cisco-warns-of-new-ios-xe-zero-day-actively-exploited-in-attacks/

Ai mai putea citi

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

27 februarie 2026

Vulnerabilitate critică identificată în Juniper Networks PTX

27 februarie 2026

Trend Micro avertizează asupra unor vulnerabilități în Apex One

27 februarie 2026

PoC lansat pentru o vulnerabilitate din Windows

26 februarie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |