0day : Cisco prépare un correctif pour une vulnérabilité critique d’IOS XE

Cisco indique travailler sur un correctif pour une vulnérabilité critique dans son logiciel IOS XE. Révélée lundi, cette vulnérabilité est déjà activement exploitée.

Celle qui est référencée, CVE-2023-20198, affecte toutes les instances du logiciel Cisco IOS XE avec la fonction d’interface utilisateur Web activée, ce qui se fait via les commandes ip http server ou ip http secure-server. 

Cette vulnérabilité inédite, de type 0day, a déclaré Cisco dans un avis lundi, permet à « un attaquant distant et non authentifié de créer un compte sur un système affecté avec un accès de niveau de privilège 15 ». L’assaillant peut alors utiliser le nouveau compte pour prendre le contrôle du système cible. 

L’équipementier précise que la CVE-2023-20198 fait l’objet d’une exploitation active et lui a attribué un score de sévérité CVSS de 10, le plus élevé possible. 

Étant donné qu’aucun correctif n’est actuellement disponible, Cisco « recommande vivement aux clients de désactiver la fonctionnalité HTTP Server sur tous les systèmes connectés à Internet ». Des instructions à cet effet, ainsi que des indicateurs de compromission et des détails techniques supplémentaires, sont disponibles dans l’avis. 

L’équipe Talos de Cisco a parallèlement publié un billet de blog fournissant des informations supplémentaires sur la nature de l’activité malveillante associée à la faille. Selon le billet, Cisco Talos a découvert pour la première fois les signes d’une activité malveillante pertinente le 28 septembre, notant que cette activité a apparemment commencé dès le 18 septembre. L’entreprise a ensuite détecté un deuxième groupe d’activités inhabituelles le 12 octobre. 

« Nous estimons que ces groupes d’activités ont probablement été menés par le même acteur », peut-on lire sur le blog. « Les deux groupes semblaient proches l’un de l’autre, l’activité d’octobre semblant s’appuyer sur l’activité de septembre. Le premier cluster était peut-être la tentative initiale de l’acteur et le test de son code, tandis que l’activité d’octobre semble montrer que l’acteur étend son opération pour inclure l’établissement d’un accès persistant via le déploiement de l’implant ». 

Dans une déclaration partagée avec la rédaction, un porte-parole de Cisco a déclaré que l’équipementier était « engagé à la transparence ». 

« Lorsque des problèmes de sécurité critiques surviennent, nous les traitons en priorité, afin que nos clients comprennent les problèmes et sachent comment les traiter », peut-on lire dans le communiqué. 

À la fin du mois dernier, Cisco a divulgué une faille zero-day distincte – CVE-2023-20109 – affectant certaines versions du logiciel Cisco IOS XE. Cette vulnérabilité, présente dans la fonctionnalité Group Encrypted Transport VPN (GET VPN), pourrait également permettre à un acteur malveillant de prendre le contrôle d’un système cible s’il est exploité.