Cisco hat bestätigt, dass es einen schwerwiegenden Fehler gepatcht hat, der sich auf seine IOx-Anwendungshosting-Umgebung auswirkte.
Cisco IOx ist eine Anwendungsumgebung, die eine konsistente Bereitstellung von Anwendungen ermöglicht, die unabhängig von der Netzwerkinfrastruktur und Docker-Tools für die Entwicklung sind. Es wird von einer Vielzahl von Unternehmen genutzt, von der Fertigung über den Energiesektor bis hin zum öffentlichen Sektor.
Der Fehler, der als CVE-2023-20076 verfolgt wird, ermöglichte es Angreifern, Persistenz auf dem Betriebssystem zu erreichen und so die Fähigkeit zu erlangen, Befehle aus der Ferne auszuführen.
Wer ist betroffen?
„Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine Anwendung in der Cisco IOx-Anwendungshosting-Umgebung mit einer präparierten Aktivierungsnutzlastdatei bereitstellt und aktiviert“, Cisco genannt (öffnet in neuem Tab) in seiner Sicherheitsempfehlung.
Betroffen sind Benutzer, die IOS XE ohne native Docker-Unterstützung ausführen, sowie Benutzer, die industrielle ISR-Router der Serie 800, CGR1000-Rechenmodule, industrielle IC3000-Rechengateways, IR510-WPAN-Industrierouter und Cisco Catalyst Access Point (COS-APs)-Endpunkte verwenden (öffnet in neuem Tab).
Switches der Catalyst 9000-Serie, IOS XR- und NX-OS-Software sowie Meraki-Produkte seien von dem Fehler nicht betroffen, fügte das Unternehmen hinzu.
Der Vorbehalt bei dieser Schwachstelle besteht darin, dass die Bedrohungsakteure bereits als Administrator auf den anfälligen Systemen authentifiziert sein müssen.
Dennoch sagten Forscher von Trellix, die den Fehler zuerst entdeckten, dass Gauner diese Schwachstelle in ihren böswilligen Kampagnen leicht mit anderen koppeln könnten. Die Authentifizierung kann mit Standard-Anmeldeinformationen (viele Benutzer ändern sie nie) sowie durch Phishing und Social Engineering erreicht werden.
Nach der Authentifizierung kann CVE-2023-20076 für „unbeschränkten Zugriff, wodurch bösartiger Code im System lauern und nach Neustarts und Firmware-Upgrades bestehen bleiben“ missbraucht werden.
„Das Umgehen dieser Sicherheitsmaßnahme bedeutet, dass, wenn ein Angreifer diese Schwachstelle ausnutzt, das bösartige Paket weiter ausgeführt wird, bis das Gerät auf die Werkseinstellungen zurückgesetzt oder manuell gelöscht wird.“
Die gute Nachricht ist, dass es bisher keine Hinweise darauf gibt, dass der Fehler in freier Wildbahn ausgenutzt wird. Wenn Sie diese Lösung jedoch verwenden, stellen Sie sicher, dass sie auf die neueste Version aktualisiert wird.
Über: Piepender Computer (öffnet in neuem Tab)