Cisco cảnh báo về lỗ hổng zero-day trên iOS XE đang bị khai thác trong trong các cuộc tấn công 

Cisco cảnh báo các quản trị viên về lỗ hổng zero-day bỏ qua xác thực trong phần mềm iOS XE, cho phép hacker có được quyền quản trị viên và kiểm soát hoàn toàn các router và switch từ xa. 

Lỗ hổng CVE-2023-20198 (hiện đang chờ bản vá) ảnh hưởng đến các thiết bị có kích hoạt tính năng Giao diện người dùng web (Web UI), tức là cũng bật tính năng HTTP hoặc HTTPS Server. 

“Cisco đã phát hiện hoạt động khai thác lỗ hổng trong tính năng Giao diện người dùng web (Web UI) của phần mềm Cisco IOS XE (CVE-2023-20198)”.  

“Việc khai thác thành công lỗ hổng cho phép kẻ tấn công tạo tài khoản trên thiết bị ảnh hưởng với quyền truy cập cấp 15, cho chúng toàn quyền kiểm soát thiết bị và thực hiện các hoạt động trái phép tiếp theo”. 

Các cuộc tấn công được phát hiện vào ngày 28/9 bởi Trung tâm Hỗ trợ Kỹ thuật (TAC) của Cisco sau khi có báo cáo về hành vi bất thường trên thiết bị của khách hàng. Trước đó, Cisco phát hiện một user xác thực tạo tài khoản user với tên ‘cisco_tac_admin’ từ một địa chỉ IP đáng ngờ (5.149.249[.]74). 

Hãng đã phát hiện thêm hoạt động khai thác CVE-2023-20198 vào ngày 12/10, khi tài khoản local user “cisco_support” được tạo từ địa chỉ IP đáng ngờ thứ hai (154.53.56[.]231). Những kẻ tấn công cũng triển khai một bộ cài độc hại để thực thi các lệnh tùy ý ở cấp độ system hoặc IOS. 

Cisco cho biết: “Chúng tôi nhận định rằng các hoạt động này có thể do cùng một đối tượng thực hiện. Hai hoạt động gần nhau (về thời gian), và hoạt động tháng 10 dường như được xây dựng dựa trên hoạt động tháng 9”. 

Cisco khuyến nghị quản trị viên vô hiệu hóa tính năng HTTP Server trên các hệ thống truy cập Internet, điều này sẽ loại bỏ và ngăn chặn vectơ tấn công. 

“Sau đó, hãy sử dụng lệnh copy running-configuration startup-configuration để lưu running-configuration. Điều này sẽ đảm bảo rằng tính năng HTTP Server không bật lên trong trường hợp tải lại hệ thống”. 

Các tổ chức cũng được khuyến nghị rà soát các tài khoản user ‘lạ’ hoặc được tạo gần đây vì đây là có thể là dấu hiệu bị xâm nhập. 

Cisco sẽ sớm đưa ra bản vá cho lỗ hổng.  

Tháng trước, Cisco đã cảnh báo khách hàng về một lỗ hổng zero-day khác (CVE-2023-20109) trong phần mềm IOS và IOS XE cũng đang bị khai thác thực tế.  

Nguồn: Bleeping Computer