Um backdoor implantado em dispositivos Cisco, aproveitando vulnerabilidades de Zero-Day no software IOS XE, foi sujeito a modificações por um agente ofensivo, visando evitar a sua detecção por meio de técnicas de camuflagem.
"A análise do tráfego de rede em relação a um dispositivo comprometido revelou que o ofensor atualizou o backdoor para implementar uma verificação adicional do cabeçalho", informou a equipe da Fox-IT do Grupo NCC. "Portanto, para muitos dispositivos, o backdoor permanece funcional, porém agora somente responde se o cabeçalho HTTP de autorização correto estiver especificado."
Esses ataques envolvem a exploração das vulnerabilidades CVE-2023-20198 (com uma pontuação CVSS de 10,0) e CVE-2023-20273 (com uma pontuação CVSS de 7,2), integrando-as em uma cadeia de exploração que concede ao ofensor a capacidade de obter acesso aos dispositivos, estabelecer uma conta privilegiada e, por fim, implantar um backdoor baseado na linguagem de programação Lua nos dispositivos.
Este desenvolvimento ocorre enquanto a Cisco inicia a disponibilização de atualizações de segurança para abordar essas questões, com novas atualizações com data de lançamento ainda não divulgada.
A identidade exata do ofensor por trás desses ataques permanece desconhecida, embora o número de dispositivos afetados seja estimado em milhares, com base em dados compartilhados por VulnCheck e pela empresa especializada em gerenciamento de superfície de ataque, Censys.
Mark Ellzey, um pesquisador sênior de segurança da Censys, observou que as infecções parecem ser de grande escala e há a possibilidade de que os invasores avaliem a importância das informações obtidas.
Contudo, nas últimas semanas, houve uma queda acentuada no número de dispositivos comprometidos, reduzindo de aproximadamente 40.000 para apenas algumas centenas, o que levanta suspeitas de que possam ter sido implementadas alterações furtivas para ocultar a presença do backdoor. A descoberta das últimas modificações no backdoor pela Fox-IT explica a súbita e drástica diminuição, evidenciando que ainda existem mais de 37.000 dispositivos comprometidos com o backdoor.
Por sua vez, a Cisco confirmou as mudanças no comportamento do backdoor em seus comunicados atualizados e compartilhou um comando curl que pode ser executado para verificar a presença do backdoor nos dispositivos.
curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"
A Cisco informou que se a solicitação retornar uma sequência hexadecimal, como "0123456789abcdef01", o backdoor está presente.
Via - THN
Comments