Über 35.000 Geräte durch Schwachstellen in Cisco IOS XE kompromittiert

Cisco warnt vor den Schwachstellen CVE-2023-20198 und CVE-2023-20273 in der Web-Oberfläche von Cisco IOS XE. Über die Schwachstelle CVE-2023-20198 können nicht authentifizierte Angreifende per Remote-Zugriff neue Accounts mit Level-15-Zugriffsrechten auf unterwanderten Systemen anlegen. Die Schwachstelle CVE-2023-20273 nutzen Infiltrierer, um root-Zugriff zu erlangen und die Malware auf das Dateisystem zu schreiben.

Angreifende können so IOS-XE-Systeme kontrollieren und Geräte wie Switches, Router oder WLAN-Controller kompromittieren, auf denen die Software eingerichtet ist. Darüber informiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Cybersicherheitswarnung. 

Das BSI wertet CVE-2023-20198 und CVE-2023-20273 sowie die von Cisco beobachtete Ausnutzung als sehr kritisch und ernstzunehmende Gefahr, da Geräte mit Cisco IOS XE wie Router, Switches und WLAN-Controller in vielen Branchen weit verbreitet sind. Über die Sicherheitslücken können sich Angreifende ihren Weg in interne Netzwerke bahnen und große Schäden anrichten.

Obwohl Patches zu den Lücken vorhanden sind, sind Mitigationen und Detektionsmaßnahmen unbedingt erforderlich. Die breitflächige Ausnutzung von CVE-2023-20198 und CVE-2023-20273 sowie die zahlreichen kompromittierten Geräte erfordern eine Prüfung jedes Produkts, das Cisco IOS XE verwendet.

Cisco und Cisco Talos berichten, dass die Schwachstellen seit dem 18. September angegriffen werden. Außerdem nennt Cisco Talos in einem Blog-Beitrag angreifende IP-Adressen und schildert den Ablauf dieser Angriffe: Hacker löschen während der Attacke Nutzer und Logs mit speziellen Befehlen. Diese Befehle finden sich im Blog-Beitrag.

Von den Schwachstellen betroffen sind physische und virtuelle Geräte mit IOS XE, deren Web-Oberfläche (Web UI) aktiviert ist. Besonders gefährdet sind Geräte, die aus dem Internet erreichbar sind.

Das Unternehmen Censys berichtet, dass bisher über 35.000 Geräte kompromittiert wurden, auf denen die Software installiert ist. Die IOS XE nutzenden Switches Stratix® 5200 und 5800 des Herstellers Rockwell Automation sind ebenfalls von den Schwachstellen betroffen.

Laut dem Portal Bleepingcomputer ist die Anzahl durch Scans ermittelter kompromittierter Geräte seit dem 22. Oktober stark zurückgegangen. Dies ist jedoch kein Grund zur Entwarnung, da vermutet wird, dass die Malware aktualisiert wurde und daher nicht mehr mit alten Prüfstandards entdeckt werden kann.

Zumindest korrekt konfigurierte IOS-XE-Systeme, die nicht aus dem Internet erreichbar sind, sind vor externen Angriffen geschützt.

Die Web-Oberfläche (Web UI = Web User Interface) ist ein GUI-basiertes System-Management-Werkzeug, das die Bereitstellung, die Inbetriebnahme und das Verwalten von Cisco-IOS-XE-Systemen vereinfacht. Cisco liefert die Web UI standardmäßig mit IOS XE aus. Die Oberfläche muss demnach nicht gesondert aktiviert oder installiert werden.

Der Hersteller empfiehlt, die Web UI so einzurichten, dass diese nicht aus dem Internet und nur innerhalb vertrauenswürdiger Netzwerke erreichbar ist.

Folgende Patch-Versionen zu den Sicherheitslücken existieren bisher und sollten schnell eingespielt werden:

• 17.9.4a
• 17.6.6a
• 17.3.8a
• 16.12.10a

Die Patches schließen die beiden Schwachstellen ohne weiteren Workaround. Zusätzlich verweist Cisco auf Mitigationsmaßnahmen und Indikatoren zur Prüfung auf Kompromittierung.

Für alle IOS-XE-Instanzen soll geprüft werden, ob die Web-Oberfläche aktiviert ist. Zudem sollte sichergestellt werden, dass die Web UI nur aus vertrauenswürdigen Netzwerken erreichbar ist oder deaktiviert wird. Wie man prüft, ob die Web-Oberfläche aktiviert ist, zeigt das BSI in seiner Warnmeldung.

Falls die vorhandenen Patch-Versionen nicht funktionieren, sollte das HTTP-Server-Feature auf allen aus dem Internet erreichbaren IOS-XE-Systemen deaktiviert werden. Hierzu gibt das BSI Handlungsempfehlungen in seiner Warnmeldung. Anschließend sollte mithilfe der Prüfindikatoren von Cisco gesichert werden, dass die HTTP-/HTTPS-Funktionalität deaktiviert ist.

Die Indicators of Compromise (IoCs) bzw. Indikatoren zur Prüfung auf Kompromittierung beschreibt Cisco in seinem Advisory. Mit diesen IoCs kann eine mögliche Kompromittierung entdeckt werden. Cisco Talos nennt in einem Blog-Beitrag weitere Prüfindikatoren. Wichtig ist, dass selbst nach Einspielen einer Patch-Version die Systeme mit den IoCs auf Kompromittierung geprüft werden.

Orange Cyberdefence und FoxiT haben auf GitHub jeweils ein Skript veröffentlicht, mit dem man ein Cisco-IOS-XE-Gerät auf eine Kompromittierung prüfen kann. Verdächtige Accounts mit Administratoren-Level 15 sollten sofort gelöscht werden, da Angreifende auch nach Entfernen der Malware auf das Gerät zugreifen können. Die beobachtete Malware ist nicht persistent und wird durch einen Neustart des Geräts entfernt.

Cisco hat außerdem einen Entscheidungsbaum erstellt, mit dem die Notwendigkeit zur Handlung abgewogen werden kann. Dieser findet sich in der BSI-Warnmeldung und im Cisco Advisory. 

Das BSI und Cisco raten, regelmäßig im Cisco Advisory zu prüfen, ob eine neue Patch-Version oder neue IoCs verfügbar sind.