Sintesi

Sono state recentemente rilevate attività malevole volte a sfruttare la vulnerabilità CVE-2023-20198 , relativa a prodotti Cisco IOS XE, al fine di distribuire la web shell denominata BADCANDY.

Descrizione e potenziali impatti

Sono state recentemente rilevate attività malevole volte a sfruttare la vulnerabilità CVE-2023-20198 , relativa a prodotti Cisco IOS XE, al fine di distribuire la web shell denominata BADCANDY.

La vulnerabilità, già trattata nell’ambito del AL03/231016/CSIRT-ITA , potrebbe permettere a un eventuale attaccante la creazione di un account di tipo admin dall’interfaccia Web UI e ottenere il controllo dei dispositivi target.

Anche se il malware BADCANDY risulta essere non persistente al riavvio del dispositivo, un attaccante che abbia già ottenuto credenziali valide o altre modalità di accesso potrebbe continuare a controllare il dispositivo interessato o infettarlo nuovamente con le medesime o altre modalità.

Stima diffusione

Di seguito si riporta una stima dei dispositivi potenzialmente interessati dall’attività malevola descritta, rilevati sul territorio nazionale.

Prodotti e/o versioni affette

Cisco IOS-XE, con Web UI abilitata ed esposta su Internet

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza disponibile nella sezione Riferimenti.

Inoltre, per verificare l’eventuale compromissione del dispositivo è possibile eseguire le azioni riportate di seguito:

• verificare la configurazione attiva del dispositivo per individuare account con privilegi di livello 15 (massimi privilegi) ed eliminare eventuali account inaspettati o non autorizzati;
• verificare ed eventualmente rimuovere immediatamente account sospetti, come quelli con stringhe casuali o come i seguenti: cisco_tac_admin, cisco_support, cisco_sys_manager e/o cisco;
• verificare eventuali interfacce di tunneling sconosciute;
• monitorare le modifiche di configurazione dei log TACACS+ AAA;
• limitare l’accesso all’interfaccia web di amministrazione.

Infine si raccomanda di seguire le indicazioni trattate nel bollettino BL01/250626/CSIRT-ITA , specificatamente a quanto riportato nel paragrafo Vulnerabilità note e zero-day su dispositivi esposti.