Une faille dans l’interface utilisateur web du logiciel Cisco IOS XE est actuellement activement exploitée en se connectant à l’internet ou à des réseaux non fiables. Si l’attaque réussit, les pirates peuvent tout simplement prendre le contrôle d’un système complet.
Talos, l’équipe de sécurité de Cisco, a découvert un nouveau zero day dans l’interface utilisateur web du logiciel IOS XE. En se connectant à internet ou à un réseau non fiable, les attaquants peuvent prendre le contrôle complet d’un système compromis en créant un compte avec le niveau de privilège 15.
Meilleur score
La vulnérabilité récemment découverte a reçu le code CVE-2023-20198 et le score CVSS maximal critique de 10. Ce zero day menace les systèmes physiques et virtuels ayant un serveur HTTP ou HTTPS actif et utilisant le logiciel IOS XE.
Cisco a déjà publié un avis recommandant de désactiver les serveurs HTTP/S sur les systèmes connectés à l’internet. Compte tenu du score CVSS extrêmement élevé, Talos et Cisco recommandent de suivre rapidement et correctement les conseils publiés par l’entreprise.
Attaque configurée
Le 28 septembre, on a détecté un premier cas d’activité malveillante suspectée. Ces activités comprenaient la création d’un compte à partir d’une adresse IP suspecte. Un deuxième cas similaire a attiré l’attention quand un fichier de configuration a été installé. Dans les deux cas, le compte se présentait comme une entité Cisco.
Les attaquants ont également exploité la vulnérabilité CVE-2021-1435, malgré les correctifs complets que Cisco a lancés pour cette vulnérabilité par le passé. L’installation du fichier de configuration est basée sur le langage de programmation Lua et consiste en 29 lignes de code.
Talos conseille aux organisations et aux entreprises de vérifier si leurs systèmes contiennent de nouveaux comptes ou des comptes inexpliqués. Cela peut indiquer qu’une activité malveillante se déroule au moment-ci.
Le mois dernier, Cisco a annoncé l’acquisition de Splunk pour renforcer sa cybersécurité. Auparavant, les VPN de l’entreprise étaient ciblés par plusieurs attaques par force brute.