Cisco har informert om at en sikkerhetsoppdatering forventes i løpet av søndag 22. oktober2. Oppdateringen bør installeres så snart det lar seg gjøre.

I følge Cisco har to sårbarheter blitt utnyttet:

(1) Angriper har først utnyttet CVE-2023-20198 for å få tilgang og privilegier opp mot nivå 15, og dermed opprettet brukernavn og passord for å kunne logge inn på systemet. Denne sårbarheten fikk en CVSS-score på 10.0.

(2) Deretter har angriper utnyttet en annen komponent av webgrensesnittet for å gi brukeren forhøyede tilganger (root). Sårbarheten er tildelt CVE-2023-20273 og har fått en CVSS-score på 7.2.

Utover å gjøre undersøkelser basert på informasjonen fra Cisco2,3 anbefaler NCSC alle som er påvirket av denne sårbarheten om å holde seg oppdatert på informasjon publisert av Cisco2, samt installere sikkerhetsoppdatering så fort denne forekommer.

NCSC er kjent med at flere Cisco IOS XE enheter i Norge har blitt kompromittert. Dersom man har en slik enhet eksponert mot internett, og webgrensesnittfunksjonalitet skrudd på, bør denne funksjonaliteten skrus av og iverksette undersøkelsene tidligere utsendt umiddelbart2.

Referanser:

1 Aktiv utnyttelse av sårbarhet i Cisco IOS XE Web UI (CVE-2023-20198) 
2 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
3https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/