{"id":287317,"date":"2023-10-23T00:01:00","date_gmt":"2023-10-22T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=287317"},"modified":"2023-10-24T00:37:09","modified_gmt":"2023-10-23T22:37:09","slug":"cisco-neue-0-day-schwachstelle-cve-2023-20273-in-ios-xe-wird-bereits-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/10\/23\/cisco-neue-0-day-schwachstelle-cve-2023-20273-in-ios-xe-wird-bereits-ausgenutzt\/","title":{"rendered":"Cisco: Neue 0-day-Schwachstelle (CVE-2023-20273) in IOS XE; wird bereits ausgenutzt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der US-Anbieter Cisco hat zum 20. Oktober 2023 eine weitere 0-day-Schwachstelle (CVE-2023-20273) in IOS XE \u00f6ffentlich gemacht. Diese Schwachstelle wird bereits in freier Wildbahn ausgenutzt, um Systeme zu kompromittieren. Der Hersteller plant Korrekturen f\u00fcr die Schwachstellen CVE-2023-20198 und CVE-2023-20273 voraussichtlich am 22. Oktober 2023 (US-Zeit) bereitzustellen. Eine am 16. Oktober 2023 \u00f6ffentlich gemachte Sicherheitsl\u00fccke f\u00fchrte zum mehreren Zehntausend Infektionen, wobei die Zahl der \"auffindbaren, infizierten\" Systeme pl\u00f6tzlich auf wenige Hundert gesunken ist. Erg\u00e4nzung:<\/strong> Erkl\u00e4rung zu gesunkenen Erkennungen im Text nachgetragen.<\/p>\n

<\/p>\n

\"\"Aktuell d\u00fcrften Cisco-Administratoren keine ruhige Zeit haben. Anfang Oktober wurde die kritische Schwachstelle CVE-2023-20101 per Notfall-Update geschlossen (Cisco-Notfall-Update schlie\u00dft kritische Schwachstelle (CVE-2023-20101)<\/a>). Dann gab es zum 16. Oktober 2023 eine Sicherheitswarnung vor einer 0-day-Schwachstelle (CVE-2023-20198) in IOS XE, die \u00fcber die Web UI eine Privilegien-Erweiterung erm\u00f6glicht (Cisco warnt vor bereits ausgenutzter 0-day-Schwachstelle (CVE-2023-20198) in IOS XE (16. Oktober 2023)<\/a>).<\/p>\n

Zu den Netzwerkger\u00e4ten, auf denen Cisco IOS XE l\u00e4uft, geh\u00f6ren Switches f\u00fcr das Unternehmensumfeld, Access Points, Wireless-Controller sowie Industrie-, Aggregations- und Branch-Router.<\/p><\/blockquote>\n

Bereits im Beitrag \u00dcber 32.000 Cisco Komponenten \u00fcber Schwachstelle CVE-2023-20198 kompromittiert<\/a> hatte ich darauf hingewiesen, dass weltweit mehrere Zehntausend Cisco-Systeme, die per Internet erreichbar sind, inzwischen mit einem \"Implantant\" kompromittiert wurden. Die Kollegen von Bleeping Computer berichten hier<\/a>, dass die Zahl der kompromittierten Systeme sogar den Wert von 50.000 \u00fcberschritten habe. Doch vor wenigen Stunden ist die Zahl der kompromittierten Systeme auf wenige Hundert gesunken.<\/p>\n

\"Cisco<\/a><\/p>\n

Sicherheitsforscher r\u00e4tseln nun, was die Ursache f\u00fcr diesen steilen Abfall der Infektionszahlen sein k\u00f6nnte. Denn es gibt immer noch ungef\u00e4hr die gleiche Anzahl von per Internet erreichbaren Cisco-Ger\u00e4te (~60k). Aber die meisten dieser Instanzen zeigen das von Talos entdeckte Implantat nicht mehr per Remote-Zugriff an. Die beste Erkl\u00e4rung der Sicherheitsforscher ist, dass die vorher als kompromittiert ermittelten Ger\u00e4te immer noch kompromittiert sind. Aber die Angreifer haben wohl das Implant angepasst und die Spuren so verwischt, dass die Infektion nicht mehr (mit den bisherigen Methoden) erkannt werden kann.<\/p>\n

\"Cisco<\/a>
\nInfektion von Cisco-Instanzen; Quelle Shadow Server<\/p>\n

Shadow Server hat die obige Grafik<\/a> mit dem zeitlichen Verlauf der Infektionen von Cisco-Sytemen ver\u00f6ffentlicht, die den steilen Abfall der Infektionen reflektiert. Und nun kommt noch die n\u00e4chste Schwachstelle (CVE-2023-20273) hinzu, die ebenfalls aktiv ausgenutzt wird, um ein Implant auf die Systeme auszurollen. Cisco hat seinen Blog-Beitrag<\/a> um folgenden Text erg\u00e4nzt:<\/p>\n

Identified an additional vulnerability (CVE-2023-20273) that is exploited to deploy the implant. Fixes for both CVE-2023-20198 and CVE-2023-20273 are estimated to be available on October 22. The CVE-2021-1435 that had previously been mentioned is no longer assessed to be associated with this activity.<\/p><\/blockquote>\n

Es wurde eine zus\u00e4tzliche Sicherheitsl\u00fccke (CVE-2023-20273) identifiziert, die zur Bereitstellung des Implantats ausgenutzt wird. Korrekturen f\u00fcr CVE-2023-20198 und CVE-2023-20273 wurden f\u00fcr den 22. Oktober 2023 (US-Zeitzone) avisiert. Die zuvor erw\u00e4hnte Sicherheitsl\u00fccke CVE-2021-1435 werde nicht mehr mit dieser Aktivit\u00e4t in Verbindung gebracht.<\/p>\n

Erkl\u00e4rung f\u00fcr gesunkene Erkennungen<\/h2>\n

Erg\u00e4nzung: Inzwischen haben Sicherheitsforscher von Fox-IT auf Twitter eine Erkl\u00e4rung<\/a> f\u00fcr die pl\u00f6tzlich sprunghaft gefallene Erkennung kompromittierter Systeme geliefert:<\/p>\n

IMPORTANT<\/span>\u00a0We have observed that the implant placed on tens of thousands of Cisco devices has been altered to check for an Authorization HTTP header value before responding [1\/3]<\/span><\/p>\n

This explains the much discussed plummet of identified compromised systems in recent days. Using a different fingerprinting method, Fox-IT identifies 37890 Cisco devices that remain compromised. [2\/3]<\/p>\n

We strongly advise everyone that has (had) a Cisco IOS XE WebUI exposed to the internet to perform a forensic triage. We published steps on identifying compromised systems on our GitHub here: <\/span>https:\/\/<\/span>github.com\/fox-it\/cisco-ios-xe-implant-detection<\/span>\u2026<\/span><\/a> [3\/3]<\/span><\/p><\/blockquote>\n

Erste Patches verf\u00fcgbar<\/h2>\n

Im Sicherheitshinweis Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature<\/a> hei\u00dft es, dass die ersten korrigierten Software-Releases im Cisco Software Download Center ver\u00f6ffentlicht worden sind.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nCisco-Notfall-Update schlie\u00dft kritische Schwachstelle (CVE-2023-20101)<\/a>
\nCisco warnt vor bereits ausgenutzter 0-day-Schwachstelle (CVE-2023-20198) in IOS XE (16. Oktober 2023)<\/a>
\n\u00dcber 32.000 Cisco Komponenten \u00fcber Schwachstelle CVE-2023-20198 kompromittiert<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der US-Anbieter Cisco hat zum 20. Oktober 2023 eine weitere 0-day-Schwachstelle (CVE-2023-20273) in IOS XE \u00f6ffentlich gemacht. Diese Schwachstelle wird bereits in freier Wildbahn ausgenutzt, um Systeme zu kompromittieren. Der Hersteller plant Korrekturen f\u00fcr die Schwachstellen CVE-2023-20198 und CVE-2023-20273 voraussichtlich … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-287317","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287317","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=287317"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287317\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=287317"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=287317"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=287317"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}