Cisco émet une alerte concernant une vulnérabilité critique de type « zéro day » actuellement exploitée

Cisco a émis un avertissement concernant une vulnérabilité de sécurité critique (CVE-2023-20198) affectant son logiciel IOS XE. Avec une note de gravité de 10.0 sur le système de notation CVSS, la la faille détectée délivre des privilèges d’administrateur complets sur les appareils concernés sans authentification aux attaquants pourtant à distance.

Cisco a découvert ce problème après avoir détecté une activité suspecte sur l’appareil d’un client à partir duquel des comptes d’utilisateurs non autorisés étaient créés à partir d’adresses IP suspectes. Au moins deux « vagues » d’exploitation ont été observées par Cisco, la dernière en octobre 2023. L’entreprise soupçonne le même acteur d’être à l’origine des deux séries d’activités – la première étant probablement un test et la seconde marquant une expansion de ses opérations.

Le problème concerne spécifiquement les équipements de réseau d’entreprise dont la fonction Web UI est activée et qui sont exposés à Internet ou à des réseaux non fiables. Les équipements physiques et virtuels fonctionnant sous Cisco IOS XE sont concernés s’ils ont la fonction de serveur HTTP ou HTTPS activée. Pour réduire le risque, il est conseillé de désactiver la fonction de serveur HTTP sur les systèmes exposés à Internet.

L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié un avis et ajouté cette vulnérabilité au catalogue des vulnérabilités exploitées connues (KEV). En avril 2023, les agences de renseignement du Royaume-Uni et des États-Unis mettaient en garde contre des campagnes parrainées par des États et visant des infrastructures d’envergure mondiale, en soulignant la vulnérabilité des dispositifs Route/Switch à de telles attaques.

Solutions de contournement et recommandations

À l’heure où nous écrivons ces lignes, aucune solution n’est encore disponible chez Cisco pour corriger cette vulnérabilité. La seule option consiste à désactiver l’interface web face aux réseaux non fiables sur tout système Cisco IOS XE.

Cisco explique comment désactiver la fonction et comment déterminer si la fonction de serveur HTTP est activée. En outre, l’avis de sécurité émis par Cisco décrit une commande supplémentaire à exécuter après avoir désactivé la fonction HTTP Server, afin de s’assurer que la fonction ne sera pas réactivée après un rechargement du système.

L’avis de sécurité de Cisco inclut également quelques indicateurs de compromission pour aider les enquêtes de réponse aux incidents.

Comment Outpost24 peut vous aider ?

Les clients d’Outscan NX/HIAB peuvent détecter cette vulnérabilité s’ils ont configuré l’analyse pour qu’elle s’exécute en mode « authentifié ».

Nous sommes en train de développer d’autres méthodes de détection de cette vulnérabilité et nous mettrons à jour notre système de détection au fur et à mesure que de nouvelles informations seront disponibles.

Note : Ce texte est publié et reflète l’état des connaissances au moment de la publication ; celles relatives à la détection, les recommandations relatives à la remédiation, à la détection ou la disponibilité des correctifs peuvent être amenés à changer. Se référer aux informations des fournisseurs pour les dernières mises à jour ainsi qu’à la base de données des vulnérabilités dans l’outil.