Getty Images/iStockphoto
IOS XE : Cisco diffuse une mise à jour pour deux vulnérabilités activement exploitées
Cisco publie des mises à jour pour contrecarrer l’exploitation de deux vulnérabilités affectant les utilisateurs de son logiciel IOS XE. Parallèlement, le nombre de systèmes compromis s’est étrangement effondré.
Cisco a publié des mises à jour logicielles gratuites pour corriger deux vulnérabilités affectant l’interface utilisateur web (UI) de son logiciel IOS XE. Elles sont désormais disponibles via le centre de téléchargement de logiciels de Cisco.
Les mises à jour protègent contre l’exploitation de la CVE-2023-20198, divulguée pour la première fois le 16 octobre. Cette vulnérabilité a été mise à profit pour compromettre des dizaines de milliers d’équipements Cisco à l’interface d’administration exposée directement sur Internet.
Mais il s’avère que l’acteur malveillant impliqué ne s’est pas contenté d’exploiter cette vulnérabilité : il en a également mis à profit une seconde, référencée CVE-2023-20273, qui touche un autre composant de la fonction d’interface utilisateur web et permet à l’utilisateur local nouvellement créé d’élever ses privilèges au niveau root, et donc d’écrire un implant malveillant sur le système de la victime.
Cisco conseille toujours à ses clients utilisant IOS XE d’appliquer les mises à jour, mais aussi de désactiver la fonction de serveur HTTP sur tous les systèmes exposés sur Internet, ou de restreindre l’accès aux adresses de sources sûres.
Surprise, toutefois ce 21 octobre : le nombre de systèmes compromis observable a chuté brutalement, Onyphe n’en recensant plus qu’environ 1 200. Une baisse aussi brutale de ce nombre n’est pas cohérente avec une application massive de mesures correctives.
Les équipes du CERT d’Orange Cyberdefense ont émis publiquement une hypothèse largement évoquée en coulisses : celle d’un acteur malveillant effaçant, de manière plus ou moins industrialisée, les traces les plus visibles de ses méfaits.
Pour ces équipes, en l’absence d’information tierce sur ce qui est survenu, il convient de considérer « que les équipements sur lesquels l’implant étant encore présent hier sont toujours corrompus et peut-être même passés à une nouvelle phase d’exploitation ».