Une faille de sécurité zero-day a été découverte dans Cisco IOS XE ! Il y a urgence, car les pirates l’exploitent déjà et ils sont parvenus à compromettre des dizaines de milliers d’appareils dans le monde entier !
Avant d’évoquer cette menace, sachez que le système Cisco IOS XE est utilisé par de nombreux produits de chez Cisco, aussi bien des routeurs, des commutateurs que des points d’accès Wi-Fi.
La faille de sécurité zero-day, associée à la référence CVE-2023-20198 (score CVSS de 10 sur 10), est exploitée par les pirates pour compromettre les appareils Cisco exposés sur Internet. En effet, l’exploitation de cette vulnérabilité nécessite d’avoir accès à l’interface Web UI de l’appareil, en HTTP ou en HTTPS. Une fois l’opération réussie, à distance et sans authentification préalable, l’attaquant peut avoir les privilèges d’administrateur et prendre le contrôle total de l’équipement Cisco. Un implant malveillant est injecté dans chaque appareil compromis (VulnCheck a mis au point un scanner pour détecter la présence de cet implant).
Une fois un équipement compromis, un attaquant peut surveiller le trafic réseau et même mettre en place des attaques de type man-in-the-middle. La menace est importante.
Des dizaines de milliers d’appareils Cisco compromis
Il y a énormément d’appareils Cisco exposés sur Internet et vulnérable à cette faille de sécurité. D’ailleurs, une recherche sur le moteur Shodan permet de constater qu’il y a plus de 140 000 équipements potentiellement vulnérables.
Les cybercriminels ne sont pas passés à côté de cette aubaine : il y aurait déjà plus de 34 500 équipements Cisco compromis via cette vulnérabilité, d’après le CERT d’Orange Cyberdefense. Parmi ces appareils compromis, il y en aurait plus de 1 000 en France.
Le correctif se fait attendre…
La mauvaise nouvelle, c’est qu’il n’y a pas encore de correctif ! Alors, comment se protéger ?
Vous devez désactiver l’accès HTTP/HTTPS depuis l’extérieur afin que l’attaquant ne puisse pas accéder à l’interface de votre équipement à distance. Sans cet accès, il ne pourra pas exploiter la vulnérabilité CVE-2023-20198.
Pensez également à regarder les logs de votre équipement Cisco à la recherche d’un nouveau compte utilisateur suspect : “Vérifiez les journaux du système pour la présence de l’un des messages de journal suivants où l’utilisateur pourrait être cisco_tac_admin, cisco_support ou tout autre utilisateur local configuré qui est inconnu de l’administrateur réseau.“
source : it-connect