Cisco telah memperingatkan adanya kerentanan keamanan kritis yang belum diperbaiki yang memengaruhi perangkat lunak IOS XE dan sedang ditargetkan secara aktif di dunia maya. Kerentanan ini berakar pada fitur antarmuka pengguna web (web UI) dan ditetapkan sebagai CVE-2023-20198 dengan peringkat keparahan maksimum 10,0 pada sistem penilaian CVSS.
.
.
Perlu dicatat bahwa kerentanan ini hanya memengaruhi peralatan jaringan perusahaan yang memiliki fitur web UI diaktifkan dan ketika terpapar internet atau jaringan yang tidak terpercaya. “Kerentanan ini memungkinkan penyerang jarak jauh yang tidak terotentikasi untuk membuat akun pada sistem yang terpengaruh dengan akses tingkat hak istimewa,” kata Cisco dalam sebuah pengumuman pada hari Senin. “Penyerang kemudian dapat menggunakan akun tersebut untuk mengendalikan sistem yang terpengaruh.”
.
.
Masalah ini memengaruhi baik perangkat fisik maupun virtual yang menjalankan perangkat lunak Cisco IOS XE yang juga memiliki fitur server HTTP atau HTTPS diaktifkan. Sebagai mitigasi, disarankan untuk menonaktifkan fitur server HTTP pada sistem yang menghadap internet.
.
.
Perusahaan peralatan jaringan besar ini mengatakan bahwa mereka menemukan masalah ini setelah mendeteksi aktivitas jahat pada perangkat pelanggan yang tidak diidentifikasi sejak 18 September 2023, di mana pengguna yang sah membuat akun pengguna lokal dengan nama pengguna “cisco_tac_admin” dari alamat IP mencurigakan. Aktivitas tidak biasa berakhir pada 1 Oktober 2023.
.
.
Dalam kelompok aktivitas terkait kedua yang terlihat pada 12 Oktober 2023, pengguna yang tidak sah membuat akun pengguna lokal dengan nama “cisco_support” dari alamat IP berbeda. Hal ini dikatakan diikuti oleh serangkaian tindakan yang berpuncak pada penyebaran implan berbasis Lua yang memungkinkan aktor untuk mengeksekusi perintah sembarang pada tingkat sistem atau tingkat IOS. Pemasangan implan dicapai dengan mengeksploitasi CVE-2021-1435, sebuah celah yang sekarang telah ditambal dan memengaruhi web UI dari perangkat lunak Cisco IOS XE, serta mekanisme yang belum ditentukan dalam kasus di mana sistem sepenuhnya dilindungi dari CVE-2021-1435.
.
.
“Untuk implan menjadi aktif, server web harus dimulai ulang; setidaknya dalam satu kasus yang diamati server tidak dimulai ulang sehingga implan tidak pernah menjadi aktif meskipun telah dipasang,” kata Cisco. Backdoor, disimpan di bawah jalur file “/usr/binos/conf/nginx-conf/cisco_service.conf,” tidak bertahan, artinya tidak akan bertahan setelah reboot perangkat. Namun demikian, akun hak istimewa nakal yang dibuat tetap aktif.
.
.
Cisco telah mengaitkan dua set aktivitas kepada kemungkinan aktor ancaman yang sama, meskipun asal-usul pasti dari lawan saat ini masih kabur. “Kelompok pertama mungkin merupakan upaya awal dan pengujian kode mereka, sementara aktivitas Oktober tampaknya menunjukkan aktor memperluas operasi mereka untuk mencakup mendirikan akses persisten melalui penyebaran implan,” kata perusahaan itu.
.
.
Pengembangan ini telah mendorong Badan Keamanan Siber dan Infrastruktur AS (CISA) untuk mengeluarkan sebuah pengumuman dan menambahkan cacat ke katalog Kerentanan Dieksploitasi Diketahui (KEV).