Sebuah kelompok peretas yang tidak diketahui telah mengeksploitasi sebuah kerentanan zero-day kritis pada perangkat yang menjalankan perangkat lunak Cisco IOS XE untuk menginfeksi lebih dari 40.000 perangkat dengan implant jahat. Kerentanan ini, yang diberi kode CVE-2023-20198, memungkinkan penyerang untuk mendapatkan akses jarak jauh ke perangkat yang rentan melalui antarmuka web manajemen.
.
Cisco mengumumkan kerentanan ini pada hari Senin, 16 Oktober 2023, dan memberi peringkat keparahan maksimum 10 dari 10. Cisco mengatakan bahwa tidak ada solusi sementara atau pengaturan ulang yang dapat mencegah eksploitasi kerentanan ini, dan menyarankan pelanggan untuk menonaktifkan antarmuka web manajemen sampai ada pembaruan keamanan yang tersedia.
Cisco mengumumkan kerentanan ini pada hari Senin, 16 Oktober 2023, dan memberi peringkat keparahan maksimum 10 dari 10. Cisco mengatakan bahwa tidak ada solusi sementara atau pengaturan ulang yang dapat mencegah eksploitasi kerentanan ini, dan menyarankan pelanggan untuk menonaktifkan antarmuka web manajemen sampai ada pembaruan keamanan yang tersedia.
.
Menurut penelitian dari Orange’s CERT Coordination Center, lebih dari 34.500 perangkat Cisco IOS XE telah dikompromikan oleh serangan CVE-2023-20198. Peneliti menemukan bahwa penyerang telah menginstal backdoor yang disebut Sombra pada perangkat yang terinfeksi, yang memungkinkan mereka untuk menjalankan perintah jarak jauh, mengunduh dan mengunggah file, dan mengumpulkan informasi tentang perangkat.
Menurut penelitian dari Orange’s CERT Coordination Center, lebih dari 34.500 perangkat Cisco IOS XE telah dikompromikan oleh serangan CVE-2023-20198. Peneliti menemukan bahwa penyerang telah menginstal backdoor yang disebut Sombra pada perangkat yang terinfeksi, yang memungkinkan mereka untuk menjalankan perintah jarak jauh, mengunduh dan mengunggah file, dan mengumpulkan informasi tentang perangkat.
.
Backdoor Sombra juga memiliki kemampuan untuk menyebarkan dirinya ke perangkat lain dalam jaringan yang sama, menggunakan protokol SSH atau Telnet. Peneliti menduga bahwa tujuan utama penyerang adalah untuk mencuri data sensitif dari organisasi yang menggunakan perangkat Cisco IOS XE, seperti pemerintah, militer, atau perusahaan besar.
Backdoor Sombra juga memiliki kemampuan untuk menyebarkan dirinya ke perangkat lain dalam jaringan yang sama, menggunakan protokol SSH atau Telnet. Peneliti menduga bahwa tujuan utama penyerang adalah untuk mencuri data sensitif dari organisasi yang menggunakan perangkat Cisco IOS XE, seperti pemerintah, militer, atau perusahaan besar.
Serangan ini merupakan salah satu contoh dari ancaman zero-day yang semakin meningkat di dunia siber. Zero-day adalah kerentanan yang belum diketahui oleh vendor atau publik, dan dapat dimanfaatkan oleh penyerang sebelum ada pembaruan keamanan yang tersedia. Zero-day sering dijual di pasar gelap dengan harga tinggi, atau digunakan oleh kelompok peretas negara-negara atau kriminal untuk melancarkan serangan canggih.
Untuk melindungi diri dari serangan zero-day, pengguna disarankan untuk selalu memperbarui perangkat lunak mereka dengan versi terbaru yang tersedia, dan mengikuti praktik keamanan terbaik seperti menggunakan kata sandi kuat, mengaktifkan otentikasi dua faktor, dan menghindari mengklik tautan atau lampiran mencurigakan dalam email atau pesan.