Inhalt
Edge-Infrastruktur wie Firewalls, Router, VPN-Gateways usw., die aus dem Internet erreichbar sind, sind ein häufiges Ziel für Cyberkriminelle und Spionageakteure, da diese Geräte schwer zu verteidigen sind.
Nach Angaben des Schwachstellenerkennungsdienstes LeakIx könnten bereits 30 Tausend internetfähige Cisco-Geräte durch die Zero-Day-Schwachstelle CVE-2023-20198 kompromittiert worden sein. Internet-Zensus-Anbieter wie Shodan gehen davon aus, dass derzeit etwa 150.000 Cisco IOS XE-Geräte dem Internet ausgesetzt sind. Jedes verwundbare Gerät, das noch nicht kompromittiert ist, wird in den nächsten Minuten, Stunden oder Tagen angegriffen werden…
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Bedrohungslage derzeit als Stufe 2 / Gelb ein, was auf ein mögliches vorübergehendes Risiko für den Geschäftsbetrieb hinweist.
Aktualisierungen
Besuchen Sie unser Twitter-Profil (X) für die neuesten Updates!
21. Oktober: Shadowserver hat einen signifikanten Rückgang der aktiven Implants im Internet festgestellt. Dies wurde später auf Änderungen im Implant-Code zurückgeführt, die den derzeitigen Erkennungsmechanismus umgehen.
23. Oktober: Cisco bestätigt eine zweite Sicherheitslücke(CVE-2023-20273), die das Einfügen des Implants in die Datei “cisco_service.conf” ermöglicht. Cisco hat einen Patch für die aktuelle Version von IOS XE 17.9 veröffentlicht. Fox-IT entdeckte eine Änderung im Implant-Code, die über das Wochenende ausgerollt wurde und einen Authentifizierungsstring erfordert, wir bestätigten eine Variante der 404-Täuschungsseite.
28. Oktober: Das SECUINFRA Falcon Team hat einen neuen Exploit-Versuch identifiziert, der dem ursprünglichen Angreifer zugeschrieben wird. Wir haben unsere Erkenntnisse mit anderen Netzwerksicherheitsexperten geteilt, um die Entwicklung neuer Erkennungsmechanismen zu unterstützen. Details über das Innenleben der beiden Schwachstellen sind nun öffentlich, siehe die Blogbeiträge von Horizon3 und LeakIX. Mit öffentlichen Proof-of-Concepts wird die Zahl der Ausnutzungsversuche für ungepatchte Geräte steigen.
Nov 03: Wir haben eine dritte Version des Lua-Implantats erbeutet, die wiederum dem ursprünglichen Angreifer zugeschrieben wird. Sie führten einen weiteren HTTP-Header-Wert ein, um den Zugriff auf das Implantat zu beschränken und das Fingerprinting anfälliger Geräte erneut zu unterbrechen.
Was bisher bekannt ist
Die Authentication Bypass-Schwachstelle CVE-2023-20198 wird mit einem CVSS V3-Wert von 10,0 (der höchstmöglichen Punktzahl) bewertet. Sie ermöglicht es einem nicht authentifizierten Angreifer, der die Web-UI-Funktion ausnutzt, um auf eine interne API zuzugreifen und z. B. ein Administratorkonto mit der Berechtigungsstufe 15 (wiederum die höchstmögliche) zu erstellen. Mit diesem Zugriff kann ein Angreifer die vollständige Kontrolle über das Gerät erlangen, was bedeutet, dass alle darauf befindlichen Daten und das Gerät selbst als vollständig kompromittiert betrachtet werden sollten.
Die Webshell / Implant wird über eine Befehlsinjektionsschwachstelle CVE-2023-20273 in der Funktion installAdd installiert, die durch eine unsachgemäße Eingabevalidierung des Parameters ipaddress verursacht wird.
In einem Technical Advisory beschreibt Cisco Talos eine Lua Webshell/Implant, die nach automatischer Ausnutzung der Schwachstelle in die Konfiguration der betroffenen Geräte eingefügt wurde. Sie erlaubt den Angreifern, IOX-Befehle mit der Privilegstufe 15 auszuführen und dadurch beliebige Systemkonfigurationseinstellungen zu ändern. Das Implantat bleibt nach einem Neustart der Appliance nicht erhalten.
Abbildung 1: Lua Webshell/Implant V1 (Quelle: Cisco Talos)
Unten sehen Sie Screenshots der dritten Version des Implantats, die am 3. November aufgenommen wurden:
Abbildung 2: Lua Webshell/Implant V3 (Quelle: SECUINFRA Falcon Team)
Betroffene Geräte
Zum Zeitpunkt der Erstellung des Cisco-Advisorys gibt es noch keine genaue Übersicht über die betroffenen IOS XE-Versionen oder -Geräte, sondern nur die Information, dass die Schwachstelle sowohl auf physischen als auch auf virtualisierten Appliances vorhanden sein kann. Betroffen sind laut Cisco-Dokumentation unter anderem Enterprise-Switches, Wireless-Controller, Access-Points und eine breite Auswahl an Router-Produkten, z.B. aus der Catalyst-, ASR-, CSR-, CBR-, ISR-, IR- und NCS-Serie.
Indicators of Compromise
Bereitgestellt von Cisco
Bei der automatisierten Ausnutzung von Cisco-Appliances verwenden Bedrohungsakteure derzeit die folgenden Benutzernamen bei der Erstellung von Administratorkonten: cisco_tac_admin cisco_support
Das Admin-Panel und die Systemprotokolle der möglicherweise kompromittierten Appliances sollten auf neu erstellte und unbekannte Benutzerkonten überprüft werden.
Es wurden aktuell zwei Systeme beobachtet, die aktiv nach dieser Schwachstelle suchen bzw. sie ausnutzen, wobei diese Zahl wahrscheinlich schnell steigen wird. 5.149.249[.]74 154.53.56[.]231
Mit dem folgenden Befehl (ersetzen Sie DEVICEIP durch die IP-Adresse Ihrer Appliance) können Administratoren prüfen, ob das Implantat auf der Appliance vorhanden ist. Wenn eine hexadezimale Zeichenfolge zurückgegeben wird, kann dies darauf hindeuten, dass das Gerät bereits kompromittiert wurde. curl -k -X POST “https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1”
Erkenntnisse aus unseren Honeypots
Wir verwenden Honeypots mit verschiedenen Softwareversionen, um die Angriffsaktivitäten zu messen und Einblicke in die TTPs der Angreifer zu gewinnen. Als Beitrag zu den Erkennungs- und Forschungsbemühungen der breiteren Cybersicherheits-Community veröffentlichen wir die erfassten Exploit-Protokolle in unserem Research GitHub Repository. Nachstehend finden Sie einen Überblick über unsere aktuelle Honeypot-Infrastruktur:
Abbildung 3: Unsere aktuelle Honeypot-Einrichtung
Beispiel-Logs
Erfasste IoC
154.53.63[.]93 cisco_support cisco_sys_manager cisco_tac_admin
Eine umfassende Liste finden Sie in unserem GitHub-Repository.
Auf der Grundlage des Modus Operandi der erfassten Angriffe und der verwendeten Infrastruktur konnten wir bestimmte angreifende Hosts in Gruppen zusammenfassen:
Abbildung 4: Überblick über die Infrastruktur der Angreifer
Mitigationen
Für Appliances, die (direkt) aus dem Internet erreichbar sind, empfiehlt Cisco zu prüfen, ob das Webinterface aktiviert und von außen erreichbar ist, was mit diesem Befehl möglich ist (true positive): Router# show running-config | include ip http server|secure|active
ip http server
ip http secure-server
Sollten diese Befehle mit den zusätzlichen Zeilen – ip http (secure-)active-session-modules none – vorhanden sein, ist die Schwachstelle nicht über HTTP(S) ausnutzbar.
Es wird dringend empfohlen, die Web-UI auf Appliances mit direkter Erreichbarkeit aus dem Internet vorerst zu deaktivieren, zumindest bis ein Patch von Cisco verfügbar ist.
Um die Web-UI zu deaktivieren, geben Sie den folgenden Befehl im globalen Konfigurationsmodus ein:
no ip http server
no ip http secure-server
Wie wir helfen können
Benötigen Sie Unterstützung bei der Einschätzung, ob Ihr internet-exponiertes Cisco-Gerät bereits kompromittiert wurde? Wir helfen Ihnen gerne so schnell wie möglich mit einer forensischen Analyse des fraglichen Netzwerkgeräts.
Bitte starten Sie (potenziell) betroffene Geräte im Falle einer geplanten forensischen Untersuchung nicht neu, um Beweise in flüchtigen Speichern zu erhalten.
Falls es eindeutige Hinweise auf eine aktive Kompromittierung des Geräts gibt, empfehlen wir, es zu isolieren und ein Compromise Assessment der angrenzenden Umgebung durchzuführen, um sicherzustellen, dass keine Vorbereitungen für einen Angriff größeren Ausmaßes getroffen werden, z. B. Vorbereitungen für einen Ransomware-Angriff, Lateral Movement (Ausbreitung im Netzwerk) usw.
Wir erforschen diese Angriffskampagne aktiv mit Hilfe von Honeypots und erstellen benutzerdefinierte Erkennungsregeln für TTPs der Angreifer.
