Est-ce grave ? Cisco a encore des vulnérabilités non corrigées !

Il convient de souligner que cette faille n’affecte que les équipements de réseau d’entreprise dont l’interface utilisateur Web est activée et qui sont exposés à l’internet ou à des réseaux non fiables.

« Cette vulnérabilité permet à un attaquant distant non authentifié de créer un compte sur un système affecté avec un accès de niveau de privilège 15 », a déclaré Cisco dans un avis publié lundi. « L’attaquant peut ensuite utiliser ce compte pour prendre le contrôle du système affecté.

Le problème concerne les appareils physiques et virtuels utilisant le logiciel Cisco IOS XE et dont la fonction de serveur HTTP ou HTTPS est activée. Pour atténuer le problème, il est recommandé de désactiver la fonction de serveur HTTP sur les systèmes orientés vers l’internet.

L’équipementier réseau a déclaré avoir découvert le problème après avoir détecté une activité malveillante sur un appareil d’un client non identifié dès le 18 septembre 2023, au cours de laquelle un utilisateur autorisé a créé un compte d’utilisateur local sous le nom d’utilisateur « cisco_tac_admin » à partir d’une adresse IP suspecte. Cette activité inhabituelle a pris fin le 1er octobre 2023. Dans un deuxième groupe d’activités connexes repérées le 12 octobre 2023, un utilisateur non autorisé a créé un compte d’utilisateur local sous le nom « cisco_support » à partir d’une adresse IP différente. Cette opération aurait été suivie d’une série d’actions qui ont abouti au déploiement d’un implant basé sur Lua qui permet à l’acteur d’exécuter des commandes arbitraires au niveau du système ou de l’IOS.

L’installation de l’implant est réalisée en exploitant CVE-2021-1435, une faille désormais corrigée qui affecte l’interface utilisateur web du logiciel Cisco IOS XE, ainsi qu’un mécanisme encore indéterminé dans les cas où le système est entièrement corrigé contre CVE-2021-1435. »Pour que l’implant devienne actif, le serveur web doit être redémarré ; dans au moins un cas observé, le serveur n’a pas été redémarré, de sorte que l’implant n’est jamais devenu actif bien qu’il ait été installé », a déclaré Cisco. La porte dérobée, enregistrée sous le chemin de fichier « /usr/binos/conf/nginx -conf /cisco _service .Cisco a attribué deux séries d’activités au même acteur de la menace, bien que les origines exactes de l’adversaire soient encore floues. Le premier groupe pourrait être une tentative initiale de l’acteur pour tester son code, tandis que l’activité d’octobre semble montrer que l’acteur étend ses opérations en établissant un accès persistant par le biais d’un implant de déploiement », a indiqué la société. La majorité des infections se trouvent aux États-Unis, suivis des Philippines, du Chili, du Mexique et de l’Inde, suivis par les Philippines, le Chili, le Mexique, l’Inde, la Thaïlande, le Pérou, le Brésil, l’Australie et Singapour.
Contacté pour un commentaire, Cisco a partagé la déclaration suivante avec The Hacker News –
Cisco s’engage à faire preuve de transparence. Lorsque des problèmes de sécurité critiques se posent, nous les traitons en priorité, afin que nos clients comprennent les problèmes et sachent comment les résoudre. Le 16 octobre, Cisco a publié un avis de sécurité révélant une vulnérabilité jusqu’alors inconnue dans l’interface utilisateur Web (Web UI) du logiciel Cisco IOS XE lorsqu’elle est exposée à l’internet ou à des réseaux non fiables. Nous travaillons sans relâche pour fournir un correctif logiciel et nous recommandons vivement aux clients de prendre des mesures immédiates comme indiqué dans l’avis de sécurité. Cisco fournira une mise à jour sur l’état de notre enquête par le biais de l’avis de sécurité. Veuillez vous référer à l’avis de sécurité et au blog de Talos pour plus de détails.
(L’article a été mis à jour après publication pour inclure plus d’informations de Cisco, Censys et VulnCheck).
Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.