Lỗ hổng Zero Day trên Cisco iOS XE cho phép hacker toàn quyền điều khiển thiết bị
02:48:00 | 24-10-2023

Lỗ hổng cực kỳ nghiêm trọng trên hệ điều hành iOS XE đang đe dọa an ninh lên hàng trăm nghìn thiết bị Cisco ở phạm vi toàn cầu. Lỗ hổng này cho phép kẻ tấn công từ xa, chưa xác thực tạo tài khoản trên thiết bị nạn nhân với đặc quyền cao nhất, từ đó toàn quyền kiểm soát thiết bị.

Lỗ hổng tồn tại trong tính năng Web UI, thành phần quan trọng được cài đặt mặc định trong sản phẩm của Cisco hỗ trợ người dùng cấu hình, theo dõi và khắc phục sự cố hệ thống mà không cần kiến thức sâu rộng về CLI (giao diện dòng lệnh).

Tính đến thời điểm 22/10, đã có hơn 50.000 thiết bị trên toàn cầu bị xâm phạm.

Hiện Cisco đã tung ra bản vá. Song trước đó 1 tuần, kể từ thời điểm lỗ hổng được công bố, số lượng thiết bị Cisco tiếp xúc với Intetnet và cho đến hiện tại vẫn là 149.000, liên quan đến các công ty lớn gồm: Comcast, Verizon, Cox Communications, Frontier, AT&T, Spirit, CenturyLink, Charter, Cobridge, Windstream và Google Fiber.

Tại Việt Nam, con số này là hơn 1.200 thiết bị.

Với số lượng lớn các thiết bị kết nối ra Internet như vậy, để giảm thiểu rủi ro, Bkav khuyến cáo người dùng lập tức cập nhật bản vá mới nhất Cisco iOS XE hoặc ngắt Web UI khỏi Internet.

Để xác định hệ thống có tồn tại lỗ hổng CVE-2023-20198 hay không, người dùng có thể:

Truy cập hệ thống và thực thi `show running-config | include ip http server|secure|active`.

Kiểm tra sự xuất hiện của các lệnh `ip http server` hoặc `ip http safe-server`. Nếu một trong hai hiển thị thì tính năng Web UI sẽ được kích hoạt.

Đối với các hệ thống có khả năng bị xâm nhập, người dùng cần:

Giám sát các log hệ thống để tìm thông báo log cụ thể cho biết hoạt động xâm nhập trái phép, đặc biệt là tên người dùng lạ.

Thực thi lệnh do Cisco Talos cung cấp: `curl -k -X POST “https://systemip/webui/logoutconfirm.html?logon_hash=1”`. Việc trả về một chuỗi hệ thập lục phân (hexadecimal) là dấu hiệu sự tồn tại của phần mềm độc hại trên hệ thống.

Người dùng nên tắt tính năng máy chủ HTTP trên tất cả các hệ thống có kết nối Internet bằng cách sử dụng lệnh `no ip http server` hoặc `no ip http safe-server`. Sau đó, hãy lưu cấu hình đang chạy để ngăn việc kích hoạt lại tính năng này.

Bkav