Due settimane dopo l’annuncio della vulnerabilità critica in iOS XE, le congetture sono finite. I ricercatori di sicurezza hanno intercettato i tentativi di attacco e li hanno analizzati utilizzando gli honeypot. Hanno scoperto che l’exploit si basava semplicemente su un vecchio trucco di crittografia. Nel frattempo, centinaia di dispositivi rimangono infettati dalla backdoor; Tuttavia, le patch sono recentemente diventate disponibili.
annuncio
I ricercatori di sicurezza Horizon3 in collaborazione con il team Secuinfra Falcon hanno registrato tentativi di sfruttare una vulnerabilità critica in Cisco IOS XE. Gli esperti scrivono che la lacuna nella sicurezza è dovuta a un bug nella logica di elaborazione del server web, che protegge l’accesso a determinati percorsi URL Nella loro analisi.
La doppia crittografia è peggio
L’URL /webui_wsma_http, l’endpoint per l’API XML integrata nel sistema operativo Cisco, è protetto dall’accesso non autenticato. Questa protezione però non funziona grazie ad un vecchio e ingegnoso trucco. Gli aggressori codificano due volte la lettera “w” come parametro URL ed evitano così di riconoscere la stringa di caratteri.webui_wsma_httpEcco come diventa la catena.%2577ebui_wsma_http“In primo luogo”%77ebui_wsma_http“Perché il server web ha ricevuto la stringa”%25“L”%“La decrittografia è stata completata. Nel secondo passaggio, “%77“Allora piccolo”w“Il filtro URL è stato disattivato.
Gli esperti di sicurezza web erano a conoscenza di questo trucco fin dai primi anni 2000, quando una vulnerabilità critica nell’allora popolare sistema di forum phpBB fu sfruttata utilizzando questa “doppia crittografia”. I criminali hanno sfruttato il bug per scrivere un worm chiamato Santy.A che cerca le vittime in modo completamente automatico.
Gli aggressori possono anche sfruttare sistematicamente il bug di IOS XE per i propri scopi. In una richiesta XML, i criminali introducono di nascosto un comando che dice al dispositivo di rete di impostare un nuovo utente di sistema con il livello di privilegio più alto possibile e da quel momento in poi può operare liberamente.
Il numero dei contagi resta alto e gli spot stanno arrivando
Molti dispositivi Cisco sono ancora colpiti da backdoor di criminali informatici sconosciuti. L’analisi di Heise Security mostra che diverse centinaia di switch e router nella regione DACH contengono ancora la backdoor indesiderata e che il numero di infezioni è rimasto stabile negli ultimi giorni.
Ciò non sorprende, dal momento che le versioni con bug risolti di quasi tutte le versioni Cisco IOS XE attualmente gestite sono disponibili solo dal 30 ottobre disponibile. Le versioni 17.9.4a, 17.6.6a, 17.6.5a e 17.3.8a risolvono il divario critico: solo gli amministratori che utilizzano iOS XE 17.12.2 dovranno attendere fino al 15 novembre.
(Kaku)