Découverte la semaine dernière, la faille zero day (référencée CVE-2023-20198) exploitée dans l'interface utilisateur web du système d'exploitation d'interconnexion réseau IOS XE de Cisco affecte à ce jour plus de 40 000 systèmes dont plus d'un quart aux Etats-Unis. Un suivi attentif de la vulnérabilité d'escalade des privilèges par la société de recherche en cybersécurité Censys a révélé que le nombre de dispositifs compromis avait légèrement diminué le 19 octobre, après des hausses considérables les deux jours précédents. « Au cours des dernières 24 heures, depuis notre dernière mise à jour sur les compromissions en cours, les nouvelles sont à la fois prometteuses et inquiétantes », a déclaré Censys dans un billet de blog. « Bien que la vague initiale de compromissions semble avoir diminué, nous constatons désormais que le nombre de routeurs compromis est substantiel », a ajouté l’entreprise. C’est le 16 octobre que Cisco a publié un avis sur une vulnérabilité critique (score CVSS de 10) dans la fonction d'interface web sur les appareils fonctionnant avec le logiciel IOS XE. Le bogue permet une escalade des privilèges sans authentification et a fait l'objet d'une exploitation active dans la nature. Mais ce n'est pas tout car l'attaquant peut ensuite exploiter un autre composant de la fonction d'interface utilisateur web, en s'appuyant sur le nouvel utilisateur local pour élever ses privilèges au niveau de root et écrire l'implant dans le système de fichiers. Une vulnérabilité supplémentaire identifiée en tant que CVE-2023-20273 au score CVSS de 7.2.

Les recherches de Censys ont révélé un total de 36 541 appareils activement infectés au 19 octobre. Environ 5 400 appareils ont été mis hors service (en les mettant hors ligne ou en désactivant les fonctions de l'interface utilisateur) en l'espace de 24 heures. La vulnérabilité a touché des appareils Cisco dans plusieurs pays, notamment aux États-Unis, aux Philippines, au Mexique, au Chili et en Inde. Au total, 6 509 hôtes affectés ont été signalés aux États-Unis le 18 octobre, soit une augmentation de près de 40 % en 24 heures, 4 659 terminaux ayant été signalés la veille. Les Philippines suivaient de près avec respectivement 3 966 et 3 224 systèmes affectés. Globe Telecoms Inc, Uninet et CTC Corp S.A. Telefonica Empresas ont été les principales entreprises américaines et philippines avec plus de 1 000 équipements affectés.

Un premier correctif disponible

Dans une mise à jour de son bulletin de sécurité concernant la faille CVE-2023-20198, l'entreprise a indiqué avoir livré des mises à jour correctives. « Les clients ayant des contrats de service qui leur donnent droit à des mises à jour logicielles régulières doivent obtenir les correctifs de sécurité par le biais de leurs canaux de mise à jour habituels », a expiqué la société. « Les clients qui achètent directement auprès de Cisco mais qui ne détiennent pas de contrat de service Cisco et les clients qui achètent par l'intermédiaire de fournisseurs tiers mais qui ne parviennent pas à obtenir un logiciel fixe par l'intermédiaire de leur point de vente doivent obtenir des mises à niveau en contactant le TAC (assistance technique produits) de Cisco ».

Pour les utilisateurs de produits Cisco sous IOS XE v17.9, la mise à jour disponible est la 17.9.4a ; s'agissant des versions 17.6, 17.3 et 16.12 (Catalyst 3650 et 3850 seulement), les MAJ respectives 17.6a, 17.3.8a et 16.12.10a sont en cours de planification. Tous les détails sont disponibles ici.

Des failles qui s'enchainent 

Au cours des deux derniers mois, les bogues se sont enchaînés pour Cisco, avec la découverte dans ses systèmes de six exploits de niveau élevé à critique. La faille référencée CVE-2023-20198, qui permet aux utilisateurs non authentifiés de créer un compte sur le système affecté avec des privilèges de « niveau 15 », a été découverte par le centre d’assistance technique de l'entreprise, en essayant de résoudre une règle de détection existante pour une vulnérabilité plus ancienne portant la référence CVE-2021-1435. Selon l'avis de Cisco, il n'existe pas de solution de contournement pour cette vulnérabilité et sa seule recommandation est de désactiver la fonction de serveur HTTP sur tous les systèmes en contact avec lnternet.

Concernant les indicateurs de compromission (Indicators of Compromise, IOC), Cisco a conseillé aux utilisateurs de rechercher des noms d'utilisateur nouveaux ou inconnus dans les messages de configuration, générés à chaque fois que l'on accède à la fonction Web UI. Le 19 octobre, l'équipementier a confirmé une autre vulnérabilité HTTP/2 Rapid Reset de gravité élevée (score CVSS de 7.5), référencée CVE-2023-44487, signalée collectivement la semaine dernière par Google, Amazon AWS et Cloudflare comme faisant l’objet d’exploits de type zero day. Cette vulnérabilité permet d'exploiter la faiblesse du protocole HTTP/2 pour générer des attaques massives par déni de service distribué (DDoS).