{"id":19930,"date":"2024-01-20T19:02:17","date_gmt":"2024-01-20T22:02:17","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19930"},"modified":"2024-01-20T19:06:09","modified_gmt":"2024-01-20T22:06:09","slug":"backdoor-em-dispositivos-da-cisco","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/01\/basico\/backdoor-em-dispositivos-da-cisco\/","title":{"rendered":"Backdoor em dispositivos da Cisco"},"content":{"rendered":"\n

Backdoor implantado em dispositivos invadidos da Cisco \u00e9 modificado para evitar detec\u00e7\u00e3o<\/strong><\/p>\n

\u00a0<\/p>\n

A seguran\u00e7a cibern\u00e9tica enfrenta mais um desafio significativo com a descoberta de um backdoor implantado em dispositivos Cisco, explorando duas vulnerabilidades zero-day no software IOS XE. O ator de amea\u00e7a respons\u00e1vel por esse ataque evoluiu o backdoor, tornando-o mais evasivo em rela\u00e7\u00e3o aos m\u00e9todos de fingerprinting anteriormente utilizados para detec\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

Detalhes da amea\u00e7a<\/strong><\/p>\n

O Grupo Fox-IT da NCC revelou que o backdoor foi aprimorado para realizar uma verifica\u00e7\u00e3o adicional de cabe\u00e7alho. O tr\u00e1fego de rede investigado revelou que o ator de amea\u00e7a aprimorou o implante, tornando-o ativo apenas quando o cabe\u00e7alho HTTP de autoriza\u00e7\u00e3o correto \u00e9 configurado. Esse desenvolvimento complicado torna a detec\u00e7\u00e3o da presen\u00e7a do backdoor mais desafiadora para muitos dispositivos.<\/p>\n

\u00a0<\/p>\n

O ataque utiliza as vulnerabilidades CVE-2023-20198 (pontua\u00e7\u00e3o CVSS: 10.0) e CVE-2023-20273 (pontua\u00e7\u00e3o CVSS: 7.2) para criar uma cadeia de explora\u00e7\u00e3o que concede ao ator de amea\u00e7a acesso aos dispositivos comprometidos, a capacidade de criar uma conta privilegiada e, por fim implantar um c\u00f3digo baseado em Lua nos dispositivos.<\/p>\n

\u00a0<\/p>\n

Resposta da Cisco<\/strong><\/p>\n

A Cisco respondeu proativamente ao incidente, come\u00e7ando a lan\u00e7ar atualiza\u00e7\u00f5es de seguran\u00e7a para resolver as vulnerabilidades. No entanto, a empresa ainda n\u00e3o divulgou a data exata para mais atualiza\u00e7\u00f5es. O comando curl fornecido pela Cisco permite aos administradores verificar a presen\u00e7a do backdoor nos dispositivos afetados, identificando assim poss\u00edveis comprometimentos.<\/p>\n

\u00a0<\/p>\n

curl -k -H “Autoriza\u00e7\u00e3o: 0ff4fbf0effa77ce8d3852a29263e263838e9bb” -X POST “https:\/\/systemip\/webui\/logoutconfirm.html?logon_hash=1”<\/strong><\/span><\/p>\n

\u00a0<\/p>\n

Escopo e dimens\u00e3o da amea\u00e7a<\/strong><\/p>\n

A identidade exata do ator de amea\u00e7a por tr\u00e1s desse ataque ainda \u00e9 desconhecida. No entanto, estima-se que milhares de dispositivos foram afetados, com dados da VulnCheck e da empresa de gerenciamento de superf\u00edcie de ataque Censys indicando um amplo impacto. Mark Ellzey, Pesquisador S\u00eanior de Seguran\u00e7a da Censys, sugere que as infec\u00e7\u00f5es parecem ser hacks em massa, indicando uma poss\u00edvel avalia\u00e7\u00e3o de valor pelos hackers.<\/p>\n

\u00a0<\/p>\n

Embora o n\u00famero de dispositivos comprometidos tenha declinado nos \u00faltimos dias, passando de aproximadamente 40.000 para algumas centenas, h\u00e1 especula\u00e7\u00f5es de que mudan\u00e7as internas tenham sido realizadas para ocultar a presen\u00e7a do backdoor.<\/p>\n

\u00a0<\/p>\n

Rea\u00e7\u00f5es e estrat\u00e9gias ofensivas<\/strong><\/p>\n

O Grupo Fox-IT descobriu altera\u00e7\u00f5es recentes no backdoor, explicando a queda acentuada no n\u00famero de dispositivos comprometidos. A Cisco confirmou essas mudan\u00e7as comportamentais em suas atualiza\u00e7\u00f5es, destacando a import\u00e2ncia da verifica\u00e7\u00e3o usando o comando curl fornecido.<\/p>\n

\u00a0<\/p>\n

Os especialistas em seguran\u00e7a advertem que a verifica\u00e7\u00e3o da presen\u00e7a do backdoor tornou-se mais complexa devido \u00e0 implementa\u00e7\u00e3o da verifica\u00e7\u00e3o de cabe\u00e7alho pelos atacantes. Essa medida reativa visa dificultar a identifica\u00e7\u00e3o de sistemas comprometidos, contribuindo para a recente redu\u00e7\u00e3o na visibilidade de sistemas infectados publicamente acess\u00edveis.<\/p>\n

\u00a0<\/p>\n

Conclus\u00e3o<\/strong><\/p>\n

O incidente destaca a evolu\u00e7\u00e3o cont\u00ednua das amea\u00e7as cibern\u00e9ticas e a necessidade urgente de medidas proativas para fortalecer a seguran\u00e7a digital. Empresas e administradores de sistemas devem seguir as recomenda\u00e7\u00f5es da Cisco, aplicar atualiza\u00e7\u00f5es de seguran\u00e7a e estar vigilantes quanto a poss\u00edveis atividades suspeitas. A colabora\u00e7\u00e3o entre especialistas em seguran\u00e7a, empresas e comunidades \u00e9 essencial para enfrentar desafios emergentes e garantir a integridade dos sistemas de informa\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

Fonte:\u00a0https:\/\/thehackernews.com\/2023\/10\/backdoor-implant-on-hacked-cisco.html\u00a0<\/a> (Autor: Newsroom)<\/p>\n","protected":false},"excerpt":{"rendered":"

Backdoor implantado em dispositivos invadidos da Cisco \u00e9 modificado para evitar detec\u00e7\u00e3o \u00a0 A seguran\u00e7a cibern\u00e9tica enfrenta mais um desafio significativo com a descoberta de um backdoor implantado em dispositivos Cisco, explorando duas vulnerabilidades zero-day no software IOS XE. O ator de amea\u00e7a respons\u00e1vel por esse ataque evoluiu o backdoor, tornando-o mais evasivo em rela\u00e7\u00e3o […]<\/p>\n","protected":false},"author":2,"featured_media":19997,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19930","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19930","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19930"}],"version-history":[{"count":15,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19930\/revisions"}],"predecessor-version":[{"id":20013,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19930\/revisions\/20013"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19997"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19930"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19930"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19930"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}