Une faille de sécurité avec un score CVSS « parfait » et aucun patch en vue
Paume faciale : L’écosystème Cisco est confronté à une autre grave vulnérabilité de sécurité. Cette faille de type 0-day est activement exploitée depuis plusieurs semaines. Il est donc crucial que les clients et les administrateurs système prennent des mesures immédiates. Bien qu’un correctif soit attendu, le nombre d’appareils concernés pourrait déjà se chiffrer en dizaines de milliers.
Quelle malheureuse façon de commencer la semaine de travail. Lundi, Cisco a publié un nouvel avis concernant une vulnérabilité de sécurité activement exploitée. Suivi comme CVE-2023-20198, le bug s’est vu attribuer le niveau de menace maximum dans le système CVSS (10.0), ce qui en fait une vulnérabilité de sécurité hautement critique.
La faille CVE-2023-20198 réside dans la fonctionnalité d’interface utilisateur Web du système d’exploitation réseau Cisco IOS XE. Lorsque la fonctionnalité HTTP ou HTTPS Server est activée, l’avis de Cisco prévient que la vulnérabilité pourrait permettre à un attaquant distant non authentifié de créer un nouveau compte utilisateur sur un appareil vulnérable avec un « accès de niveau de privilège 15 ». Cela signifie essentiellement que l’attaquant pourrait facilement prendre le contrôle total du système affecté.
Selon un avis de menace publié par l’équipe de renseignement sur les menaces de Cisco Talos, la vulnérabilité CVE-2023-20198 est exploitée depuis au moins quatre semaines. Les analystes ont découvert un « comportement inhabituel » sur un appareil client remontant au 18 septembre. Le bug affecte à la fois les appareils virtuels et physiques exécutant Cisco IOS XE, avec des dizaines de milliers d’appareils réseau connectés à Internet potentiellement vulnérables au problème (comme l’indique le récent Shodan Requêtes de recherche).
Après qu’un acteur malveillant ait obtenu un accès autorisé, Cisco Talos explique qu’il tente de prendre pied dans le système en créant un compte utilisateur local. Ce compte peut ensuite être utilisé pour implanter un script malveillant basé sur le langage de programmation Lua, permettant aux cybercriminels d’exécuter des commandes malveillantes au niveau du système à chaque redémarrage du serveur Web. L’implant ne persiste pas après un redémarrage, mais le compte utilisateur local nouvellement créé reste actif.
En exploitant la vulnérabilité critique CVE-2023-20198, Cisco prévient que les pirates peuvent également cibler une vulnérabilité « moyenne » identifiée comme CVE-2021-1435. Bien que cette faille ait été corrigée il y a deux ans, les acteurs malveillants semblent avoir réussi à compromettre des appareils entièrement corrigés et à implanter leurs charges utiles malveillantes via un « mécanisme indéterminé ».
Cisco Talos travaille activement sur un correctif pour répondre à la menace CVE-2023-20198. En attendant, la société exhorte les administrateurs réseau à vérifier leur équipement Cisco pour détecter tout signe de compromission, comme la présence de comptes d’utilisateurs inconnus et nouvellement créés. Cisco recommande également que les serveurs HTTP et HTTPS soient désactivés sur les systèmes connectés à Internet, conformément aux pratiques standard de sécurité opérationnelle de l’industrie (OPSEC).
