O número de dispositivos Cisco IOS XE hackeados com um implante de backdoor malicioso caiu misteriosamente de mais de 50.000 dispositivos impactados para apenas algumas centenas, com pesquisadores incertos sobre o que está causando o declínio acentuado.
Esta semana, a Cisco alertou que hackers exploraram duas vulnerabilidades de zero-day,
CVE-2023-20198
e
CVE-2023-20273
, para hackear mais de 50.000 dispositivos Cisco IOS XE e criar contas de usuários privilegiados e instalar um implante de backdoor LUA malicioso.
Este implante LUA permite que os atores de ameaças executem comandos remotamente no nível de privilégio 15, o nível de privilégio mais alto no dispositivo.
No entanto, este implante não inclui persistência, o que significa que uma reinicialização removerá o backdoor.
No entanto, quaisquer usuários locais criados durante o ataque permanecerão.
Desde o lançamento desta notícia, empresas de cibersegurança e pesquisadores descobriram que cerca de 60.000 dos 80.000 dispositivos Cisco IOS XE publicamente expostos foram violados com este implante.
No sábado, várias organizações de cibersegurança relataram que o número de dispositivos Cisco IOS XE com um implante malicioso caiu misteriosamente de aproximadamente 60.000 dispositivos para apenas 100-1.200, dependendo das diferentes varreduras.
Patrice Auffret, fundador e CTO da Onyphe, disse ao BleepingComputer que ele acredita que os atores da ameaça por trás dos ataques estão implementando uma atualização para esconder sua presença, fazendo com que os implantes não sejam mais vistos nas varreduras.
"Por dois dias seguidos, vemos o número de implantes ter caído drasticamente em um curto período de tempo (veja as capturas de tela anexadas).
Basicamente, eles parecem ter sido praticamente todos reinicializados (como o implante conhecido não sobrevive a uma reinicialização), ou foram atualizados."
"Acreditamos que seja a ação do ator original da ameaça tentando corrigir um problema que não deveria ter estado lá desde o início.
O fato de o implante ser tão fácil de detectar remotamente foi um erro da parte deles.
"Eles provavelmente estão implementando uma atualização para esconder sua presença."
Piotr Kijewski, CEO da The Shadowserver Foundation, também disse ao BleepingComputer que viram uma queda acentuada nos implantes desde 21/10, com suas varreduras vendo apenas 107 dispositivos com o implante malicioso.
"O implante parece ter sido removido ou atualizado de alguma forma", disse Kijewski ao BleepingComputer por e-mail.
Outra teoria é que um hacker do chapéu cinza está automatizando a reinicialização dos dispositivos Cisco IOS XE impactados para limpar o implante.
Uma campanha semelhante foi vista em 2018 quando um hacker alegou ter corrigido 100.000 roteadores MikroTik para que não pudessem ser abusados para campanhas de criptojacking e DDoS.
No entanto, o Orange Cyberdefense CERT para o Grupo Orange disse ao BleepingComputer que não acredita que um hacker de chapéu cinza esteja por trás da diminuição nos implantes, mas sim que isso poderia ser uma nova fase de exploração.
"Observe que um possível passo de limpeza de rastros está em andamento para esconder o implante (seguindo a exploração do #
CVE-2023-20198
)", tuitou o Orange Cyberdefense CERT.
"Mesmo se você desativou sua WebUI, recomendamos que você realize uma investigação para garantir que nenhum usuário malicioso foi adicionado e que sua configuração não foi alterada."
Outra possibilidade compartilhada pelo pesquisador de segurança Daniel Card é que muitos aparelhos violados com implantes eram apenas um chamariz para esconder os verdadeiros alvos nos ataques.
Infelizmente, tudo o que temos são teorias no momento.
Até que a Cisco ou outros pesquisadores possam examinar um dispositivo Cisco IOS XE previamente violado para ver se eles foram simplesmente reiniciados ou se mudanças foram feitas, não há como saber o que aconteceu.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...