Cisco schließt aktiv ausgenutzte Zero-Day-Lücke in IOS XE

Cisco hat Sicherheitsupdates für die in der vergangenen Woche gemeldete Zero-Day-Lücke in IOS XE veröffentlicht. Wie SecurityAffairs berichtet, wurden inzwischen Zehntausende Cisco-Geräte entdeckt, die bereits von Hackern kompromittiert wurden.

Die Schwachstelle mit der Kennung CVE-2023-20198 steckt in der Web-Oberfläche der IOS-XE-Software. Betroffen sind laut Cisco physische und auch virtuelle Geräte, auf denen ISO XE läuft. Für einen erfolgreichen Angriff muss allerdings auch die HTTP- oder HTTPS-Server-Funktion aktiviert sein.

Angreifer können unter Umständen ein Konto mit Rechtebene 15 erstellen, was ihnen eine vollständige Kontrolle über eine kompromittiertes Gerät gewährt. Bei den von Cisco analysierten Angriffen wurde die Anfälligkeit benutzt, um Schadcode einzuschleusen. Der Schadcode übersteht Cisco zufolge zwar einen Neustart eines betroffenen Geräts nicht, das zuvor angelegte Nutzerkonto sei jedoch weiterhin aktiv.

Eine weitere Untersuchung ergab zudem, dass die Angreifer die Zero-Day-Lücke mit einer weiteren, zuvor unbekannten Anfälligkeit kombinieren. Die mit der Kennung CVE-2023-20273 erlaubt laut der aktualisierten Sicherheitswarnung eine nicht autorisierte Ausweitung von Benutzerrechten. Dadurch ist es möglich, das über die erste Zero-Day-Lücke angelegte lokale Benutzerkonto mit Root-Rechten zu versehen und Schadcode in das Dateisystem zu schreiben.

Die jetzt angekündigten Patches beseitigen beide Sicherheitslücken. Ab sofort steht dafür das Release 17.9.4a zum Download bereit. Darüber hinaus sind weitere Updates für ältere Versionen von IOS XE in Arbeit: 17.6.6a, 17.3.8a und 16.12.10a. Weitere Details hält Cisco in einem Support-Artikel bereit.