O backdoor implantado em dispositivos Cisco, explorando um par de falhas zero-day no software IOS XE, foi modificado pelo ator ameaçador para escapar da visibilidade através de métodos anteriores de fingerprinting.
"A análise do tráfego de rede para um dispositivo comprometido mostrou que o ator ameaçador atualizou o implante para realizar uma verificação de cabeçalho extra", disse a equipe Fox-IT da NCC Group.
"Assim, para muitos dispositivos, o implante ainda está ativo, mas agora só responde se o cabeçalho HTTP de Autorização correto estiver configurado."
Os ataques envolvem a criação da
CVE-2023-20198
(pontuação CVSS: 10.0) e
CVE-2023-20273
(pontuação CVSS: 7.2) em uma cadeia de exploração que concede ao ator ameaçador a capacidade de acessar os dispositivos, criar uma conta privilegiada e, finalmente, implantar um backdoor baseado em Lua nos dispositivos.
O desenvolvimento ocorre à medida que a Cisco começa a lançar atualizações de segurança para resolver os problemas, com mais atualizações por vir em uma data ainda não divulgada.
A identidade exata do ator ameaçador por trás da campanha ainda não é conhecida, embora o número de dispositivos afetados seja estimado em milhares, com base em dados compartilhados pela VulnCheck e pela empresa de gerenciamento de superfície de ataque Censys.
"As infecções parecem ser hacks em massa", disse Mark Ellzey, Pesquisador Sênior de Segurança da Censys, ao The Hacker News.
"Pode haver um momento em que os hackers passem por suas descobertas e descubram se algo tem algum valor."
No entanto, o número de dispositivos comprometidos despencou nos últimos dias, diminuindo de aproximadamente 40.000 para algumas centenas, levando a especulações de que pode ter havido algumas mudanças internas para esconder sua presença.
As últimas alterações no implante descobertas pela Fox-IT explicam o motivo da queda repentina e dramática, já que mais de 37.000 dispositivos ainda foram observados como comprometidos com o implante.
A Cisco, por sua vez, confirmou a mudança de comportamento em seus avisos atualizados, compartilhando um comando curl que pode ser emitido de uma estação de trabalho para verificar a presença do implante nos dispositivos
curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https://systemip/webui/logoutconfirm[.]html?logon_hash=1"
"Se a solicitação retornar uma sequência hexadecimal como 0123456789abcdef01, o implante está presente", observou a Cisco.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...