- Cisco mới đây đã cảnh báo về một lỗ hổng zero-day trong phần mềm IOS XE, đang bị những đối tượng tấn công chưa rõ danh tính khai thác để cài đặt mã độc Lua Backdoor lên hàng nghìn thiết bị.

Lỗ hổng zero-day có mã CVE-2023-20273 (Điểm CVSS: 7.2), cho phép đối tượng tấn công thực hiện leo thang đặc quyền trên chức năng giao diện web. Lỗ hổng này được khai thác đồng thời cùng với lỗ hổng CVE-2023-20198 (Điểm CVSS: 10) trong cùng một chuỗi khai thác.

Ban đầu, đối tượng tấn công khai thác CVE2023-20198 để truy cập hệ thống và tạo một tài khoản người dùng cục bộ ở quyền cấp thứ 15, điều này cho phép đối tượng đăng nhập vào thiết bị như một người dùng thông thường. Sau đó, các đối tượng này sử dụng CVE-2023-20273 để khai thác một phần của tính năng giao diện web, nhằm nâng cấp quyền từ người dùng cục bộ lên quyền root và ghi mã độc vào hệ thống tệp.

Cisco thông báo rằng bản vá cho cả hai lỗ hổng này đã được hoàn thiện và sẽ phát hành tới người dùng vào ngày 22/10/2023. Nếu không thể cập nhật ngay, người dùng nên tắt chức năng máy chủ HTTP trên thiết bị để đảm bảo an toàn. Trước đây, một lỗ hổng khác với mã CVE-2021-1435 cũng đã bị tấn công để cài đặt backdoor, tuy nhiên, lần này nó không liên quan đến chuỗi tấn công mới.

Khi khai thác thành công cả hai lỗ hổng zeroday này, đối tượng tấn công dễ dàng truy cập vào hệ thống mà không bị hạn chế vào router và switch. Điều này cho phép các đối tượng tấn công theo dõi, can thiệp và định tuyến lưu lượng mạng, đồng thời sử dụng thiết bị như một điểm truy cập ổn định vào mạng lưới. Tất cả xảy ra do sự thiếu sót trong giải pháp bảo mật cho các thiết bị này.

Thông tin được tiết lộ sau khi phát hiện hơn 41.000 thiết bị Cisco sử dụng phần mềm IOS XE bị tấn công bởi hai lỗ hổng zero-day. Tính đến ngày 19/10, số lượng thiết bị bị ảnh hưởng đã giảm còn 36.541. Đáng chú ý, những người chịu tác động chính bởi lỗ hổng này không phải là các tập đoàn lớn, mà là các doanh nghiệp nhỏ và người dùng cá nhân.

PV