La paura è fin troppo giustificata. Al momento non sono disponibili patch o soluzioni alternative per la falla di massima gravità, che consente agli aggressori di ottenere privilegi di amministratore completi sui dispositivi utilizzabili da remoto e privi di specifiche dinamiche di autenticazione.
E’ proprio CISCO a chiedere ai clienti di disattivare immediatamente la funzionalità HTTPS Server su tutti i propri dispositivi IOS XE connessi a Internet in maniera tale da proteggersi da una vulnerabilità zero-day (e quindi appena scoperta come dice l’attributo anagrafico “zero-giorni”) particolarmente critica nell’interfaccia utente Web del sistema operativo e che parecchi malintenzionati stanno già attivamente sfruttando.
Per chi mastica poco queste cose è bene chiarire che Cisco IOS XE è il sistema operativo che Cisco utilizza per i suoi dispositivi di rete aziendale di nuovissima generazione.
Il “bug”, classificato ufficialmente come CVE-2023-20198, colpisce tutti i dispositivi Cisco IOS XE che hanno la funzionalità Web UI abilitata.
La cosa terribile è che allo stato attuale non è disponibile alcuna patch o altra soluzione alternativa per questo genere di problema, che Cisco ha descritto come una pericolosissima opportunità di escalation dei privilegi che consente il controllo completo del dispositivo.
Per aver idea del peso di quel che sta accadendo e immaginando una sorta di Scala Richter o Mercalli per i terremoti informatici, va detto che CISCO ha assegnato alla vulnerabilità un punteggio di gravità massimo, pari a 10 su 10 sulla scala CVSS.
“La vulnerabilità consente a un utente malintenzionato remoto e non autenticato di creare un account su un sistema interessato con accesso di livello di privilegio 15”, ha affermato Cisco in un avviso del 16 ottobre sul nuovo bug zero-day. “L’aggressore può quindi utilizzare quell’account per ottenere il controllo del sistema interessato.” Il livello di privilegio 15 su un sistema Cisco IOS significa fondamentalmente avere accesso completo a tutti i comandi compresi quelli per ricaricare il sistema e apportare modifiche alla configurazione.
Un caso pratico può rendere più accessibile a tutti quanto si sta verificando. Uno sconosciuto utente malintenzionato ha sfruttato la falla per accedere ai dispositivi Cisco IOS XE collegati a Internet e sganciare – quasi fosse una bomba – una serie di istruzioni in linguaggio Lua che facilita l’esecuzione arbitraria di comandi sui sistemi interessati.
Per piazzare il suo ordigno virtuale il farabutto ha sfruttato un’altra falla, la CVE-2021-1435, una vulnerabilità di tipo command injection di media gravità nel componente dell’interfaccia utente Web di IOS XE, che Cisco ha corretto nel 2021.
La bravura del delinquente è dimostrata dal fatto che è stato in grado di installare le sue “cose” anche su dispositivi dotati di patch complete contro CVE-2021-1435 sfruttando un meccanismo ancora indeterminato che nemmeno i tecnici di CISCO hanno compiutamente ricostruito.
Il tema va approfondito ma adesso non c’è un minuto da perdere. Sbrigatevi a disattivare subito l’ HTTPS Server su tutti i dispositivi IOS XE.
Poi ne riparliamo.
