La puerta trasera implantada en los dispositivos Cisco mediante la explotación de un par de fallas de Zero-Day en el software IOS XE ha sido modificada por el actor de amenazas para escapar de la visibilidad a través de métodos de huellas dactilares anteriores.
“El tráfico de red investigado a un dispositivo comprometido ha demostrado que el actor de amenazas ha actualizado el implante para realizar una verificación adicional del encabezado”, dijo el equipo de Fox-IT de NCC Group. “Por lo tanto, para muchos dispositivos, el implante sigue activo, pero ahora solo responde si se establece el encabezado HTTP de autorización correcto”.
Los ataques consisten en convertir CVE-2023-20198 (puntuación CVSS: 10,0) y CVE-2023-20273 (puntuación CVSS: 7,2) en una cadena de exploits que otorga al actor de amenazas la capacidad de obtener acceso a los dispositivos, crear una cuenta privilegiada y, en última instancia, implementar un implante basado en Lua en los dispositivos.
El desarrollo se produce cuando Cisco comenzó a implementar actualizaciones de seguridad para abordar los problemas, con más actualizaciones por venir en una fecha aún no revelada.
Actualmente se desconoce la identidad exacta del actor de amenazas detrás de la campaña, aunque se estima que el número de dispositivos afectados es de miles, según los datos compartidos por VulnCheck y la empresa de gestión de superficies de ataque Censys.
Sin embargo, el número de dispositivos comprometidos se desplomó en los últimos días, disminuyendo de aproximadamente 40,000 a unos pocos cientos, lo que llevó a especulaciones de que puede haber habido algunos cambios bajo el capó para ocultar su presencia.
Las últimas alteraciones en el implante descubiertas por Fox-IT explican la razón de la repentina y dramática caída, ya que se ha observado que más de 37.000 dispositivos aún están comprometidos con el implante.
Cisco, por su parte, ha confirmado el cambio de comportamiento en sus avisos actualizados, compartiendo un comando curl que se puede emitir desde una estación de trabajo para verificar la presencia del implante en los dispositivos:
curl -k -H “Autorización: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb” -X POST “https://systemip/webui/logoutconfirm.html?logon_hash=1”
“Si la solicitud devuelve una cadena hexadecimal como 0123456789abcdef01, el implante está presente”, señaló Cisco.
“La adición de la verificación de encabezado en el implante por parte de los atacantes es probablemente una medida reactiva para evitar la identificación de sistemas comprometidos”, agregó la compañía. “Esta verificación de encabezado se utiliza principalmente para frustrar la identificación de compromisos, [y] probablemente resultó en una fuerte disminución reciente en la visibilidad de los sistemas infectados de cara al público”.
