Varsel: Sårbarhed i Cisco netværksudstyr

Netværksudstyrsproducenten Cisco advarer om, at hackere har udnyttet en sårbarhed i Cisco IOS XE til at kompromittere netværksenheder. Center for Cybersikkerhed råder til at opdatere softwaren og følge Ciscos anbefaling om at begrænse adgang til webinterfacet.

Cisco advarer om, at hackere har udnyttet en hidtil ukendt sårbarhed (zero-day) i selskabets software til at kompromittere routere. Ifølge Cisco er selskabet bekendt med flere tilfælde, hvor netværksudstyr er blevet kompromitteret ved at udnytte sårbarheden.

 

Cisco har den 22. oktober 2023 frigivet en opdatering, som lukker denne sårbarhed.

 

Cisco opfordrer desuden til, at organisationer, som har udstyr med Cisco IOS XE styresystemet, slår adgangen til det HTTP/HTTPS baserede administrationsinterface fra.

 

Center for Cybersikkerhed (CFCS) råder organisationer med sårbart udstyr til at orientere sig i Ciscos varsel og tage de nødvendige skridt for at sikre deres netværk. CFCS råder desuden til at opdatere enhedernes software og begrænse adgange til webinterfacet.

 

Baggrund

Sårbarheden findes i Ciscos styresystem IOS XE, som anvendes på selskabets netværksudstyr (routere og switche). Specifikt er det en sårbarhed i det webbaserede administrationsinterface. Hvis dette interface er tilgængeligt fra internettet, kan sårbarheden udnyttes til for eksempel at oprette en ny bruger på enheden med fulde administrative rettigheder (level 15 i Ciscos terminologi). På den måde kan en hacker opnå varig adgang.

 

Ifølge Cisco bør man derfor blandt andet være opmærksom på, om der i logfiler på udstyret optræder nye eller ukendte brugere.

 

Cisco råder til, at man, hvis det er muligt, slår det webbaserede interface fra eller begrænser adgangen, så det ikke frit kan tilgås fra internettet.

 

Sårbarheden er blevet set udnyttet ved, at en aktør har placeret en bagdør (implant) i form af en konfigurationsfil. Denne bagdør forsvinder ved genstart af udstyret, men aktøren har oprettet nye administrative brugere med navne som for eksempel "cisco_tac_admin" og "cisco_support".

 

Cisco har efterfølgende konstateret, at denne sårbarhed er blevet udnyttet sammen med en anden hidtil ukendt sårbarhed til at opnå root-rettigheder for at kunne skrive til filsystemet og på den måde kompromittere udstyret med en bagdør.

 

Yderligere information

Cisco IOS XE Software Web UI Privilege Escalation Vulnerability (CVE-2023-20198)

 

Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerability

 

 

Varsler fra CFCS

CFCS ønsker at give flere danske organisationer et overblik over aktuelle sårbarheder og vil derfor udgive flere varsler på hjemmesiden. Det øgede antal varsler afspejler ikke en konkret ændring i trusselsbilledet.

Sidst opdateret 23. oktober, 2023 - Kl. 09.37