Ernstige kwetsbaarheid in Cisco IOS XE

UPDATE - Proof-of-concept is gepubliceerd

Onderzoekers hebben achtergrondinformatie en Proof-of-Concept-code (PoC) gepubliceerd waarmee de kwetsbaarheid kan worden aangetoond. Hierdoor wordt op korte termijn een grotere toename van scan- en misbruikverkeer verwacht.
 
Het advies blijft om met spoed de updates te (laten) installeren en om de onderstaande mitigerende maatregelen te nemen. Daarnaast werd deze kwetsbaarheid eerder misbruikt dan dat Cisco beveiligingsupdates beschikbaar heeft gesteld. Daarom is het belangrijk om extra waakzaam te zijn op gecompromitteerde systemen.
 


UPDATE
30 oktober 2023

Cisco heeft beveiligingsupdates uitgebracht voor IOS XE v17.6.6. Op 3 november volgt de beveiligingsupdate van v17.3.8 en op 15 november volgt v17.12.2. De updates van v17.9.4 zijn al uitgebracht. 

Ook zijn de resultaten van een succesvolle 'exploit' openbaar gemaakt. Dit is de code waarmee je de kwetsbaarheid kunt misbruiken. Omdat deze informatie nu voor iedereen beschikbaar is, verwacht het Nationaal Cyber Security Centrum (NCSC) op korte termijn een grote toename in het scan- en misbruikverkeer.

Het advies blijft om zo snel mogelijk de updates te (laten) installeren en om de onderstaande mitigerende maatregelen te nemen. Daarnaast werd deze kwetsbaarheid eerder misbruikt dan dat Cisco beveiligingsupdates beschikbaar heeft gesteld. Daarom is het belangrijk om extra waakzaam te zijn op gecompromitteerde systemen.

 


UPDATE

23 oktober 2023

Cisco heeft beveiligingsupdates uitgebracht voor versie 17.9.4 van het besturingssysteem. Als je deze versie hebt, dan is het advies om zo snel mogelijk deze beveiligingsupdates te (laten) installeren.

Naar de beveiligingsupdates van Cisco
 


Oorspronkelijke bericht

16 oktober 2023

Cisco waarschuwt voor actief misbruik van een ernstige kwetsbaarheid in Cisco IOS XE. De kwetsbaarheid is bekend onder het kenmerk CVE-2023-20198. Deze Cisco-kwetsbaarheid krijgt een CVSS score van 10.0 en het Nationaal Cyber Security Centrum (NCSC) beoordeelt de kwetsbaarheid als ‘High/High’. Dit betekent dat dit een zeer kritieke kwetsbaarheid is waarbij zowel de kans op misbruik als de kans op schade groot is.

Wat is het risico?

De kwetsbaarheid maakt het voor een niet-geauthenticeerde kwaadwillende mogelijk om op afstand een account – met toegangsniveau 15 - aan te maken op een getroffen apparaat. Met dit account kan de kwaadwillende de controle over het getroffen apparaat overnemen.

Wat kan ik doen?

Cisco heeft nog geen beveiligingsupdate beschikbaar gesteld voor de beschreven kwetsbaarheid. Wel beveelt het IT-bedrijf een aantal mitigerende maatregelen aan:

  • Schakel de webbeheerinterface uit op alle op IOS-XE gebaseerde apparaten of zorg dat deze niet via het internet bereikbaar zijn.
  • Controleer de configuratie en het bestandssysteem op tekenen van compromittatie.
  • Controleer eventuele syslog-berichten op verdachte verkeersstromen
  • Overweeg om de betrokken apparaten opnieuw op te starten aangezien de (mogelijk aangebrachte) webshell niet persistent is.

Het Digital Trust Center adviseert de door Cisco aanbevolen mitigerende maatregelen zo snel mogelijk uit te voeren. Vraag indien nodig je IT-dienstverlener om je hierbij te helpen. 

Meer informatie

Meer informatie over patches, updates en zogenoemde 'indicators of compromise' zijn het snelst beschikbaar via de volgende door Cisco beschikbaar gestelde pagina’s:

Veilig digitaal ondernemen

Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de CyberVeilig Check voor zzp en mkb.