0day Cisco IOS XE : des dizaines de milliers de machines déjà compromises

En révélant l’existence de la vulnérabilité CVE-2023-20198, ce lundi 16 octobre, Cisco a précisé qu’elle était déjà exploitée activement, vraisemblablement depuis 4 jours, sinon plus. 

Cette vulnérabilité affecte toutes les instances du logiciel Cisco IOS XE avec la fonction d’interface utilisateur web activée sans que soit disponible, pour l’heure, un correctif. Elle s’est vue attribuer un score de sévérité CVSS de 10, le plus élevé possible. 

Dans l’attente d’un patch, Cisco « recommande vivement aux clients de désactiver la fonctionnalité HTTP Server sur tous les systèmes connectés à Internet ». Et force est de constater qu’il y a urgence. 

VulnCheck s’est appuyé sur les indicateurs de compromission fournis par Cisco pour chercher les hôtes compromis – présentant donc les traces d’un implant déposé par un attaquant – accessibles sur Internet et a rendu public un outil dédié.

Dans un billet de blog, Jacob Baines, directeur technique de VulnCheck, déplore que « Cisco a enterré l’affaire en ne mentionnant pas que des milliers de systèmes IOS XE exposés sur Internet ont été implantés. VulnCheck a analysé les interfaces web de l’IOS XE de Cisco faisant face à l’Internet et a trouvé des milliers d’hôtes implantés ». 

Selon Netlas, il faut compter avec un peu moins de 81 000 machines affectées, dont un peu plus d’un millier en France. Les comptes d’Onyphe sont formels : 53 000 machines compromises pour 80 000 IP exposées. Hier soir, LeakIX dénombrait environ 30 000 IP montrant une trace de l’implant connu. Soit à peu près autant que Shadowserver ou Censys. Tous ces chiffres sont susceptibles d’évoluer graduellement, que ce soit à la baisse ou, dans un premier temps, à la hausse, selon la rapidité des balayages.

Pour Jacob Baines, « il s’agit d’une mauvaise situation, car l’accès privilégié à IOS XE permet probablement aux attaquants de surveiller le trafic réseau, de s’introduire dans des réseaux protégés et d’effectuer toutes sortes d’attaques de type “man-in-the-middle” ». Dès lors, « si votre organisation utilise un système IOS XE, il est impératif que vous déterminiez si vos systèmes ont été compromis et que vous preniez les mesures appropriées une fois les implants découverts ».

Enfin, « bien qu’aucun correctif ne soit encore disponible, vous pouvez protéger votre organisation en désactivant l’interface web et en retirant immédiatement toutes les interfaces d’administration d’Internet ». Des interfaces d’administration qui n’avaient de toute façon pas grand-chose à faire et exposées à n’importe qui.