Alerte - Vulnérabilité touchant des appareils Cisco (CVE-2023-20198) - Mise à jour 3

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection DétectionSurveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système. et d’atténuation. Le Centre canadien pour la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 16 octobre 2023, Cisco a signalé^{Note de bas de page 1Note de bas de page 2} qu’une vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. critique du jour zéro Jour zéroVulnérabilité logicielle dont l’existence n’est pas encore connue du fournisseur et qui n’est donc pas atténuée. Un exploit de jour zéro désigne une attaque qui exploite une vulnérabilité de jour zéro. d’élévation des privilèges dans l’interface InterfaceFrontière où transitent les communications entre deux systèmes. Il peut s’agir d’un connecteur matériel utilisé pour la connexion à d’autres dispositifs ou d’une convention permettant d’établir des communications entre deux systèmes logiciels. utilisateur Web (Web UI) des routeurs, des commutateurs et des contrôleurs sans fil exécutant le logiciel Cisco IOS XE est exploitée à distance pour obtenir un accès privilégié.

Cette vulnérabilité porte le numéro CVE-2023-20198 et a reçu la cote CVSS maximale de 10.0.^{Note de bas de page 3}

Selon des rapports de sources ouvertes, des milliers d’appareils vulnérables en ligne ont été compromis.^{Note de bas de page 4Note de bas de page 5Note de bas de page 6}

La présente alerte est publiée pour accroître la sensibilisation à cette vulnérabilité, mettre en lumière les possibles répercussions qu’elle pourrait avoir sur les organisations et fournir des conseils aux organisations susceptibles d’être ciblées par ces activités malveillantes.

Mise à jour 1

Le 22 octobre 2023, Cisco a mis à jour son avis^{Note de bas de page 1} pour indiquer que les premières mises à jour sont désormais disponibles pour certaines versions du logiciel IOS XE. Cisco a également publié un document sur la disponibilité DisponibilitéCaractéristique de l'information ou des systèmes qui sont accessibles aux personnes autorisées au moment où celles-ci en ont besoin. La disponibilité est un attribut des actifs informationnels, logiciels, et matériels (l'infrastructure et ses composantes). Il est également entendu que la disponibilité comprend la protection des actifs contre les accès non autorisés ou les compromissions. des correctifs logiciels pour faciliter l’identification des produits concernés et la date à laquelle les images pourront être téléchargées.^{Note de bas de page 9}

Le 20 octobre 2023, Cisco a mis à jour son avis^{Note de bas de page 1} pour y ajouter de l’information au sujet d’une vulnérabilité supplémentaire qui a été exploitée par des auteurs de menace. Après avoir exploité la vulnérabilité CVE-2023-20198 pour obtenir l’accès initial aux appareils vulnérables, on a observé que des auteurs de menace ont exploité la vulnérabilité CVE-2023-20273 pour élever leurs privilèges afin de rédiger une porte dérobée Porte dérobéeMoyen non recensé qui permet, discrètement ou anonymement, d'accéder à distance à un ordinateur après avoir contourné les mécanismes d'authentification et s'être donné accès au texte en clair. dans des appareils.

Le Centre pour la cybersécurité recommande aux organisations de continuer à surveiller les avis et le blogue de Cisco^{Note de bas de page 1Note de bas de page 2} ainsi que le document sur la disponibilité des correctifs logiciels^{Note de bas de page 9} pour être au courant des dernières mises à jour sur les moyens de corriger ces vulnérabilités.

Mise à jour 2

Le 23 octobre 2023, Cisco Talos a mis à jour son blogue^{Note de bas de page 2} pour indiquer qu’il avait relevé une version mise à jour de la porte dérobée et que celle-ci comprenait désormais une vérification préliminaire de l’en-tête d’autorisation AutorisationDroits d'accès accordés à un utilisateur, programme ou processus. HTTP. Talos a émis l’hypothèse que cette fonction de vérification d’en-tête avait probablement été ajoutée comme moyen de nuire à la capacité de détecter les dispositifs touchés.

La porte dérobée ayant été mise à jour possède la plupart des fonctionnalités de base de la version initiale et Talos croit qu’elle est utilisée depuis le 20 octobre. Pour aider à détecter la nouvelle porte dérobée, Talos a mis à jour son blogue pour y ajouter de l’orientation additionnelle sur la façon de détecter la présence d’une ou l’autre des variantes de la porte dérobée.^{Note de bas de page 2}

L’exploitation fructueuse de cette vulnérabilité permet à une auteure ou un auteur malveillant d’obtenir un accès (administratif) de « niveau 15 » au dispositif. L’auteure ou l’auteur malveillant peut alors utiliser cet accès pour recueillir de l’information sur la configuration, créer des comptes d’administrateur additionnels et tirer avantage d’une autre vulnérabilité (CVE-2023-20273) afin d’exécuter du code arbitraire sur le dispositif avec des privilèges élevés.

Le Centre pour la cybersécurité est au courant que des organisations canadiennes ont été touchées par les versions initiale et mise à jour de la porte dérobée. Il recommande fortement à toutes les organisations de vérifier leurs environnements en réseau, d’identifier tous les dispositifs potentiellement touchés et de mettre en œuvre les mesures suggérées ci-dessous.

Mise à jour 3

Entre le 27 et le 31 octobre 2023, Cisco a mis à jour son bulletin ^{Note de bas de page 1} pour souligner la publication de nouveaux correctifs visant les dispositifs vulnérables aux CVE-2023-20198 et CVE-2023-20273.

Le 28 octobre 2023, un code de preuve de concept a été publié dans une source ouverte, et des activités supplémentaires ciblant les vulnérabilités ont été signalées. Les organisations qui ont un accès externe continu à distance aux services vulnérables devraient tenir pour acquis que les dispositifs ont été entièrement compromis. Les activités malveillantes touchant ces dispositifs pourraient mener à l’accès au réseau interne. Par conséquent, il est recommandé que les organisations amorcent leurs activités d’intervention en cas de cyberincident CyberincidentToute tentative non autorisée, réussie ou non, d'avoir accès à une ressource informatique ou à un réseau, de le modifier, de le détruire, de le supprimer ou de le rendre inutilisable. . ^{Note de bas de page 7}

Mesures recommandées

Le Centre pour la cybersécurité recommande aux organisations de prendre les mesures suivantes :

• suivre les conseils et les mesures d’atténuation énoncés dans le bulletin de menace de Cisco Talos^{Note de bas de page 2};
• prioriser l’examen des appareils qui sont exposés à Internet et qui sont essentiels à votre organisation;
• utiliser les outils de journalisation centralisée disponibles pour examiner les activités de création de comptes;
• appliquer les correctifs aux systèmes touchés dès la publication des mises à jour permettant de corriger cette vulnérabilité.

Le Centre pour la cybersécurité tient à souligner qu’il est possible que l’atténuation de problèmes, de systèmes ou de serveurs individuels ne suffise pas à atténuer une compromission CompromissionDivulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information. de systèmes orchestrée par des auteures et auteurs de menace hautement qualifiés. Le Centre pour la cybersécurité recommande aux clientes et clients touchés de passer en revue son bulletin de cybersécurité conjoint sur les approches techniques à la détection et à l’atténuation des activités malveillantes^{Note de bas de page 7}.

De plus, le Centre pour la cybersécurité recommande fortement aux organisations de mettre en œuvre les 10 mesures de sécurité des TI^{Note de bas de page 8} du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :

• intégrer, surveiller et défendre les passerelles Internet;
• isoler les applications Web.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l'entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.