Backdoor implantado em dispositivos invadidos da Cisco é modificado para evitar detecção
A segurança cibernética enfrenta mais um desafio significativo com a descoberta de um backdoor implantado em dispositivos Cisco, explorando duas vulnerabilidades zero-day no software IOS XE. O ator de ameaça responsável por esse ataque evoluiu o backdoor, tornando-o mais evasivo em relação aos métodos de fingerprinting anteriormente utilizados para detecção.
Detalhes da ameaça
O Grupo Fox-IT da NCC revelou que o backdoor foi aprimorado para realizar uma verificação adicional de cabeçalho. O tráfego de rede investigado revelou que o ator de ameaça aprimorou o implante, tornando-o ativo apenas quando o cabeçalho HTTP de autorização correto é configurado. Esse desenvolvimento complicado torna a detecção da presença do backdoor mais desafiadora para muitos dispositivos.
O ataque utiliza as vulnerabilidades CVE-2023-20198 (pontuação CVSS: 10.0) e CVE-2023-20273 (pontuação CVSS: 7.2) para criar uma cadeia de exploração que concede ao ator de ameaça acesso aos dispositivos comprometidos, a capacidade de criar uma conta privilegiada e, por fim implantar um código baseado em Lua nos dispositivos.
Resposta da Cisco
A Cisco respondeu proativamente ao incidente, começando a lançar atualizações de segurança para resolver as vulnerabilidades. No entanto, a empresa ainda não divulgou a data exata para mais atualizações. O comando curl fornecido pela Cisco permite aos administradores verificar a presença do backdoor nos dispositivos afetados, identificando assim possíveis comprometimentos.
curl -k -H “Autorização: 0ff4fbf0effa77ce8d3852a29263e263838e9bb” -X POST “https://systemip/webui/logoutconfirm.html?logon_hash=1”
Escopo e dimensão da ameaça
A identidade exata do ator de ameaça por trás desse ataque ainda é desconhecida. No entanto, estima-se que milhares de dispositivos foram afetados, com dados da VulnCheck e da empresa de gerenciamento de superfície de ataque Censys indicando um amplo impacto. Mark Ellzey, Pesquisador Sênior de Segurança da Censys, sugere que as infecções parecem ser hacks em massa, indicando uma possível avaliação de valor pelos hackers.
Embora o número de dispositivos comprometidos tenha declinado nos últimos dias, passando de aproximadamente 40.000 para algumas centenas, há especulações de que mudanças internas tenham sido realizadas para ocultar a presença do backdoor.
Reações e estratégias ofensivas
O Grupo Fox-IT descobriu alterações recentes no backdoor, explicando a queda acentuada no número de dispositivos comprometidos. A Cisco confirmou essas mudanças comportamentais em suas atualizações, destacando a importância da verificação usando o comando curl fornecido.
Os especialistas em segurança advertem que a verificação da presença do backdoor tornou-se mais complexa devido à implementação da verificação de cabeçalho pelos atacantes. Essa medida reativa visa dificultar a identificação de sistemas comprometidos, contribuindo para a recente redução na visibilidade de sistemas infectados publicamente acessíveis.
Conclusão
O incidente destaca a evolução contínua das ameaças cibernéticas e a necessidade urgente de medidas proativas para fortalecer a segurança digital. Empresas e administradores de sistemas devem seguir as recomendações da Cisco, aplicar atualizações de segurança e estar vigilantes quanto a possíveis atividades suspeitas. A colaboração entre especialistas em segurança, empresas e comunidades é essencial para enfrentar desafios emergentes e garantir a integridade dos sistemas de informação.
Fonte: https://thehackernews.com/2023/10/backdoor-implant-on-hacked-cisco.html (Autor: Newsroom)
