Backdoor Implan pada Perangkat Cisco yang Diretas Dimodifikasi untuk Menghindari Deteksi

 

Pintu belakang yang ditanamkan pada perangkat Cisco dengan mengeksploitasi sepasang kelemahan zero-day pada perangkat lunak IOS XE telah dimodifikasi oleh pelaku ancaman untuk menghindari visibilitas melalui metode sidik jari sebelumnya.

 “Penyelidikan lalu lintas jaringan ke perangkat yang disusupi menunjukkan bahwa pelaku ancaman telah meningkatkan implan untuk melakukan pemeriksaan header tambahan,” kata tim Fox-IT NCC Group. "Jadi, pada banyak perangkat, implannya masih aktif, namun kini hanya merespons jika header HTTP Otorisasi yang benar disetel."

 Serangan tersebut memerlukan pembuatan CVE-2023-20198 (skor CVSS: 10.0) dan CVE-2023-20273 (skor CVSS: 7.2) menjadi rantai eksploitasi yang memberikan aktor ancaman kemampuan untuk mendapatkan akses ke perangkat, membuat akun istimewa, dan pada akhirnya menerapkan implan berbasis Lua pada perangkat tersebut.

Perkembangan ini terjadi ketika Cisco mulai meluncurkan pembaruan keamanan untuk mengatasi masalah tersebut, dan pembaruan lebih lanjut akan dilakukan pada tanggal yang belum diungkapkan.

 Identitas pasti pelaku ancaman di balik kampanye tersebut saat ini tidak diketahui, meskipun jumlah perangkat yang terkena dampak diperkirakan mencapai ribuan, berdasarkan data yang dibagikan oleh VulnCheck dan perusahaan manajemen permukaan serangan Censys. “Infeksinya terlihat seperti peretasan massal,” Mark Ellzey, Peneliti Keamanan Senior di Censys, mengatakan kepada The Hacker News.

 "Mungkin ada saatnya ketika para peretas memeriksa apa yang mereka miliki dan mencari tahu apakah ada sesuatu yang berharga." Namun, jumlah perangkat yang disusupi menurun drastis dalam beberapa hari terakhir, menurun dari sekitar 40.000 menjadi beberapa ratus, sehingga menimbulkan spekulasi bahwa mungkin ada beberapa perubahan tersembunyi untuk menyembunyikan keberadaannya.

 Perubahan terbaru pada implan yang ditemukan oleh Fox-IT menjelaskan alasan penurunan yang tiba-tiba dan dramatis, karena lebih dari 37.000 perangkat diamati masih memiliki implan yang rusak.

Cisco, pada bagiannya, telah mengkonfirmasi perubahan perilaku dalam saran terbarunya, membagikan perintah curl yang dapat dikeluarkan dari stasiun kerja untuk memeriksa keberadaan implan pada perangkat -

curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"

 “Jika permintaan mengembalikan string heksadesimal seperti 0123456789abcdef01, implan ada,” kata Cisco.