Secondo un tweet del servizio LeakIX, oltre 10.000 dispositivi Cisco IOS XE esposti in Rete sono vulnerabili a CVE-2023-20198, una privilege escalation dell’interfaccia web di Cisco IOS XE di cui, almeno al momento, non sono state rilasciate patch (“Cisco IOS XE Software Web UI Privilege Escalation Vulnerability“, Cisco security advisory).
Una vulnerabilità che, secondo un articolo di Ars Technica (“Cisco buried the lede.” >10,000 network devices backdoored through unpatched 0-day, Ars Technica), coinvolge “any switch, router, or wireless LAN controller running IOS XE that has the HTTP or HTTPS Server feature enabled and exposed to the Internet is vulnerable“.
Parliamo di una vulnerabilità critica con score CVSS massimo, 10.0, che consente a un attaccante remoto non autenticato di creare un account con privilegi elevati sul sistema vulnerabile e utilizzarlo per prendere il controllo del sistema stesso. La vulnerabilità riguarda sia dispositivi fisici che virtuali con l’interfaccia web (HTTP/HTTPS) attiva.
Sempre a quanto riporta Ars Technica, una veloce ricerca su Shodan mostrerebbe oltre 80.000 potenziali dispositivi suscettibili a essere compromessi, che espongono l’interfaccia web on-the-wild.
Tuttavia, secondo una ricerca sempre su Shodan con un dork ad-hoc diffuso dal ricercatore di cybersicurezza Simo Kohonen, i dispositivi potenzialmente vulnerabili sarebbero oltre 144.000, di cui 1599 in Italia: sono tutti dispositivi che espongono l’interfaccia web di Cisco IOS XE sulla rete.
A supporto della comunità, è stato pubblicato un tool su Github per la verifica della potenziale vulnerabilità del proprio sistema, a “Quick and dirty scanner to run checks if the host is vulnerable/been compromised using 0day in Cisco IOS XE“, che in sostanza esegue il comando:
curl -k -X POST "https://[systemip]/webui/logoutconfirm.html?logon_hash=1"
Se la richiesta ritorna una stringa esadecimale, il sistema potrebbe essere stato compromesso.
Anche l’azienda Vulncheck ha rilasciato uno scanner per individuare sistemi compromessi, scritto in Go e disponibile liberamente.
Al momento non sono state rilasciate patch e Cisco raccomanda di disabilitare, sui sistemi IOS XE, “the HTTP Server feature on all internet-facing systems. To disable the HTTP Server feature, use the no ip http server or no ip http secure-server command in global configuration mode. If both the HTTP server and HTTPS server are in use, both commands are required to disable the HTTP Server feature”.