La recente diminuzione del numero di dispositivi Cisco IOS XE ritenuti infetti ha suscitato preoccupazioni tra gli esperti di sicurezza informatica. Inizialmente, si pensava che il calo fosse dovuto a un’efficace mitigazione delle vulnerabilità, ma ulteriori indagini hanno rivelato una realtà più inquietante. Gli aggressori hanno semplicemente aggiornato il loro malware, rendendolo meno rilevabile durante le scansioni di sicurezza. Attualmente, si stima che oltre 37.000 dispositivi siano ancora compromessi, ospitando una backdoor scritta nel linguaggio di programmazione Lua.
Cisco IOS XE: cosa sta succedendo alle nostre spalle?
Da settembre, i dispositivi Cisco IOS XE sono stati bersaglio di attacchi informatici massivi, sfruttando le vulnerabilità zero-day identificate come CVE-2023-20198 e CVE-2023-20273. Cisco ha prontamente rilasciato patch di sicurezza per mitigare queste vulnerabilità, ma il problema persiste. Gli aggressori utilizzano tali falle per accedere ai dispositivi, creare account con elevati privilegi, ottenere diritti di root e installare backdoor. Queste ultime permettono agli aggressori di eseguire comandi da remoto, compromettendo ulteriormente la sicurezza del dispositivo.
Le vulnerabilità sono particolarmente pericolose se il dispositivo ha abilitato la funzione di interfaccia web e se è connesso a Internet o a una rete non attendibile. Inizialmente, il numero di dispositivi compromessi era salito a oltre 50.000, per poi scendere drasticamente. Questo calo ha portato a diverse teorie, tra cui l’intervento delle forze dell’ordine o l’azione di un hacker etico. Tuttavia, la spiegazione più probabile è che gli aggressori abbiano semplicemente aggiornato il loro malware per eludere la rilevazione.
Gli esperti di Fox-IT hanno scoperto che è stato modificato per verificare l’intestazione di autorizzazione HTTP prima di rispondere, rendendo il malware invisibile durante le scansioni standard. Anche VulnCheck, una società specializzata nell’analisi delle vulnerabilità, conferma che un gran numero di dispositivi è sotto il controllo degli aggressori.
Cisco è al corrente di questa nuova variante di malware e ha fornito ulteriori linee guida su come rilevarla. L’azienda ha anche sottolineato che, sebbene il malware possa essere rimosso riavviando il dispositivo, gli account ad alto privilegio creati dagli aggressori rimangono, rappresentando una minaccia persistente. Questo scenario sottolinea l’importanza di una vigilanza costante e di aggiornamenti tempestivi nella gestione della sicurezza dei dispositivi di rete.
