A metà ottobre ha destato grande scalpore la scoperta di due vulnerabilità zero-day in un’ampia gamma di dispositivi a marchio Cisco. Si tratta dei prodotti basati su IOS XE, un sistema operativo progetto e sviluppato per essere utilizzato su router, switch e firewall della stessa azienda. Cisco IOS XE rappresenta una versione avanzata ed evoluta del sistema operativo Cisco IOS (Internetwork Operating System), che è stato utilizzato per molti anni nei dispositivi di rete della società.
Cos’è Cisco IOS XE e a che cosa serve
Cisco IOS XE è basato su un’architettura modulare che consente di eseguire funzioni di rete su moduli software indipendenti, noti come “container“. Il sistema offre una vasta gamma di servizi e funzionalità di rete avanzate, tra cui routing, switching, sicurezza, gestione delle prestazioni, QoS (Quality of Service) e altro ancora. La piattaforma è fortemente orientata alle prestazioni, in modo tale da gestire carichi di lavoro di rete più elevati, fornendo allo stesso tempo prestazioni e scalabilità elevate.
IOS XE supporta inoltre tecnologie di virtualizzazione come Virtual Device Context (VDC) e Virtual Route Forwarding (VRF), consentendo di creare ambienti di rete virtuali e separati su un singolo dispositivo fisico. Appositi strumenti di gestione semplificano l’automazione nella configurazione delle reti.
Le patch di sicurezza Cisco per una coppia di vulnerabilità davvero pericolose
Con la pubblicazione di un bollettino “ad hoc”, Cisco ha confermato oggi di aver risolto due vulnerabilità di sicurezza che nei giorni scorsi gruppi di criminali informatici hanno utilizzato per accedere ai dispositivi IOS XE e assumerne il pieno controllo. Si tratta delle lacune contraddistinte dagli identificativi CVE-2023-20198 e CVE-2023-20273: a conferma della gravità del problema, al primo è assegnato un punteggio di 10 su un massimo di 10.
L’installazione degli aggiornamenti correttivi è a questo punto fortemente consigliata. Come confermano gli stessi tecnici Cisco, la vulnerabilità CVE-2023-20198 può essere sfruttata per prendere possesso dei dispositivi IOS XE attraverso la loro interfaccia grafica di amministrazione (Web UI) e creare un nuovo utente locale insieme con una password.
Sui dispositivi Cisco, i permessi relativi ai vari comandi sono suddivisi con una struttura a livelli che vanno da 0 a 15. Il livello 0 prevede la possibilità di utilizzare soltanto 5 comandi di base come “logout”, “enable”, “disable”, “help” ed “exit” mentre il livello 15 consente il controllo del dispositivo senza alcun tipo di limitazione. Cisco rivela che la falla CVE-2023-20198 consente di acquisire privilegi utente di livello 15, con tutto ciò che ne consegue.
I portavoce della società spiegano inoltre che le due vulnerabilità (la seconda consente di assegnare i diritti root al nuovo utente e di modificare il file system) possono essere eventualmente sfruttate se e solo se l’interfaccia Web UI (server HTTP) risulta abilitata. Diversamente, l’attacco non può andare a buon fine.
La storia della vulnerabilità su IOS XE
Cisco ha rivelato l’esistenza della falla CVE-2023-20198 lo scorso 16 ottobre presentandola come uno zero-day già utilizzato da parte di utenti malintenzionati. Da allora, i ricercatori di sicurezza hanno iniziato a cercare dispositivi compromessi. Una scansione iniziale ha fatto emergere circa 10.000 dispositivi vulnerabili connessi alla rete pubblica e già aggrediti da parte dei criminali informatici. Il numero è cresciuto rapidamente fino a superare i 40.000 in pochi giorni. Il 20 ottobre Cisco ha rivelato il secondo zero-day sfruttato nella stessa campagna per assumere il controllo completo dei sistemi che eseguono il software IOS XE.
Nel corso dell’ultimo fine settimana, tuttavia, i ricercatori hanno notato un forte calo nel numero di host Cisco IOS XE violati. In poche ore, si è improvvisamente passati da circa 60.000 host affetti dal problema a poche centinaia.
Non è chiaro cosa abbia causato il misterioso e improvviso calo, anche perché fino a qualche giorno fa una patch non esisteva. Secondo alcuni esperti, gli aggressori potrebbero aver distribuito un aggiornamento per nascondere la loro presenza e il codice dannoso nei vari dispositivi di rete. In questo modo i device Cisco IOS XE non sarebbero stati più visibili a livello di scansione.
Altre teorie ricollegano l’improvviso calo all’azione di un hacker grey-hat che avrebbe riavviato automaticamente i dispositivi infetti per sottrarli all’azione degli attaccanti.
L’immagine in apertura è tratta da questa pagina pubblicata sul sito ufficiale di Cisco.