Sent måndag kväll annonserade Cisco att en kritisk 0-day-sårbarhet aktivt utnyttjas och kan ge hotaktörer fullständiga administrativa rättigheter över nätverket.
En framgångsrik exploatering av denna sårbarhet tillåter en angripare att skapa ett konto på den drabbade enheten med hög behörighetsnivå, vilket ger dem full kontroll över enheten. I de flesta fall har hotaktören distribuerat en input som gör det möjligt att utföra skadliga kommandon på system- eller iOS- nivå, när webbservern har startat om. Kommandot kan inte överleva en omstart, men de lokala användarkontona förblir aktiva.
Den tidigare okända sårbarheten, som med beteckningen CVE-2023-20198, har den maximala allvarlighetsgraden 10. Sårbarheten finns i webbgränssnittet för Cisco IOS XE-programvaran. Alla switchar, routers eller trådlösa LAN-kontroller som kör IOS XE som har HTTP- eller HTTPS-serverfunktionen aktiverad och exponerad för internet är sårbara.
Enligt Cisco ska en okänd hotaktör ha utnyttjat sårbarheten sedan den 18:e september. IT-Total rekommenderar starkt att omedelbart implementera de steg som beskrivs i Ciscos PSIRT-rådgivning för enheter som är berörda.
IT-Total har inte http/https exponerat ut mot internet på sina Cisco-enheter.
Vidare läsning, IOC:er och rekommendationer:
