O número de dispositivos Cisco invadidos através da exploração de duas novas vulnerabilidades de dia zero permanece muito elevado, mas varreduras recentes parecem mostrar uma queda significativa devido ao fato de os invasores terem feito uma atualização do implante da backdoor, portanto, os dispositivos comprometidos não podem mais ser identificados usando o método de varredura inicial.
Hackers — até agora nenhum grupo foi identificado — têm explorado as vulnerabilidades do Cisco IOS XE rastreadas como CVE-20223-20198 e CVE-2023-20273 para criar contas com elevado privilégio em dispositivos afetados e implantar uma backdoor baseada em linguagem de programação Lua que lhes dá controle total do sistema.
Os patches já estão disponíveis para ambas as vulnerabilidades.
Pouco depois que a Cisco divulgou a existência da primeira falha, a comunidade de segurança cibernética começou a escanear a internet em busca de dispositivos comprometidos e rapidamente descobriu que até 50 mil switches e roteadores tinham o implante malicioso. Alguns dias depois, as varreduras mostraram que o número de dispositivos hackeados caiu para 100, com alguns especulando que os invasores estavam tentando esconder o implante.
A comunidade de segurança alerta que muitos dispositivos provavelmente ainda estão comprometidos, mesmo que não apareçam durante as varreduras. A Cisco confirmou que os invasores atualizaram o implante e os dispositivos comprometidos não podem mais ser identificados usando o método de varredura inicial.
No entanto, a empresa de segurança Fox-IT, pertencente ao NCC Group, encontrou um novo método de impressão digital e identificou quase 38 mil dispositivos Cisco que ainda hospedam o implante.
A Cisco confirmou a descoberta de uma nova variante que “dificulta a identificação de sistemas comprometidos”. Esta segunda versão, que os invasores começaram a implantar na sexta-feira passada, 20, tem quase a mesma funcionalidade principal, mas adiciona uma verificação preliminar para um cabeçalho de autorização HTTP específico.
Veja isso
Falha em roteador industrial Milesight pode ser explorada
Falha no Cisco Enterprise Switch expõe tráfego criptografado
“A adição da verificação de cabeçalho no implante pelos invasores é provavelmente uma medida reativa para evitar a identificação de sistemas comprometidos. Essa verificação de cabeçalho é usada principalmente para impedir a identificação de comprometimento usando uma versão anterior do comando curl fornecido pela Cisco Talos. Com base nas informações avaliadas até o momento, acreditamos que a adição da verificação de cabeçalho no implante provavelmente resultou em um declínio acentuado recente na visibilidade de sistemas infectados voltados para o público”, explicou a Cisco Talos.
A gigante das redes compartilhou indicadores de comprometimento (IoCs) e instruções para verificar se um dispositivo foi hackeado.
Convém frisar que o implante não é persistente — ele é removido se o dispositivo for reinicializado —, mas a conta de privilégio elevado criada por meio da exploração do CVE-2023-20198 permanece no dispositivo mesmo depois de reiniciado.
