15/11/2024
IT-Connect » Actualités » Actu Cybersécurité » Attention, un exploit est disponible pour la faille critique dans Cisco IOS XE !

Exploit faille zero-day Cisco IOS XE CVE-2023-20198
Actu Cybersécurité

Attention, un exploit est disponible pour la faille critique dans Cisco IOS XE !

Florian BURNEL 0 commentaire

Les détails d'un exploit sont disponibles pour la faille de sécurité CVE-2023-20198 qui affecte le système Cisco IOS XE utilisé par des dizaines de milliers d'équipements réseau. Si vous n'avez pas encore installé la mise à jour de sécurité, vous devez le faire dès que possible !

Pour rappel, les équipements réseaux Cisco équipés du système IOS XE sont vulnérables à deux failles de sécurité zero-day CVE-2023-20198 et CVE-2023-20273. En quelques jours, les cybercriminels ont pu exploiter ces vulnérabilités pour compromettre plus de 50 000 équipements Cisco ! Désormais les pirates ont un contrôle total sur les équipements compromis.

La situation ne risque pas de s'arranger, car les chercheurs en sécurité d'Horizon3.ai ont mis en ligne des détails techniques pour l'exploitation de la CVE-2023-20198, une faille de sécurité critique associée à un score CVSS de 10 sur 10. Cette analyse a été rendue possible grâce au honeypot mis en place par l'équipe SECUINFRA. Ce qui au passage est la preuve que les cybercriminels exploitent activement la vulnérabilité.

"Ce POC crée un utilisateur nommé baduser avec un niveau de privilège de 15.", précise le rapport. Ce compte hérite du niveau de privilèges le plus élevé sur IOS XE, ce qui lui permet d'exécuter du code malveillant ou de déployer d'autres implants, sans avoir besoin d'exploiter une autre vulnérabilité. L'exploitation passe par une requête HTTP spécifique qui bypass les contrôles de Nginx et permet d'atteindre l'interface Web de gestion afin d'exploiter la faille de sécurité : "Le cœur de cette vulnérabilité se trouve dans la première ligne de cette requête POST /%2577ebui_wsma_HTTP."

Le compte créé via l'exploitation de la vulnérabilité est bien visible dans l'interface Web de l'équipement Cisco :

Exploit PoC CVE-2023-20198
Source : Horizon3.ai

D'ailleurs, sur les appareils Cisco compromis, les pirates semblent avoir l'habitude d'exécuter différentes commandes pour effectuer de la reconnaissance sur l'environnement qui se cache derrière l'équipement réseau. Par exemple, la commande "show ip dns view" est exécutée.

Comment se protéger de la CVE-2023-20198 ?

La semaine dernière, Cisco a mis en ligne correctifs de sécurité pour IOS XE.

  • 17.9.4a pour IOS XE 17.9 (déjà disponible)
  • 17.6.6a pour IOS XE 17.6 (déjà disponible)
  • 17.3.8a pour IOS XE 17.3 (pas encore en ligne)
  • 16.12.10a pour IOS XE 16.12 (seulement les modèles Catalyst 3650 et Catalyst 3850) - (déjà disponible)

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Lync Server 2010 : Une mise à jour retirée par Microsoft

Florian BURNEL 0
Microsoft Outlook - CVE-2023-23397 - Mars 2023 Alerte

Mettez à jour Outlook, des pirates russes utilisent cette faille pour cibler l’Europe !

Florian BURNEL 0
FraudGPT - Outil IA pour les cybercriminels

FraudGPT, un nouvel outil d’IA pour mettre au point des cyberattaques !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.