Hackers exploraram uma vulnerabilidade de dia zero não corrigida no software de rede da Cisco, comprometendo dezenas de milhares de dispositivos, alertaram pesquisadores.
A Cisco emitiu um alerta, revelando que uma vulnerabilidade de classificação crítica foi explorada ativamente em seu software IOS XE, que alimenta uma ampla variedade de dispositivos de rede da empresa. A vulnerabilidade foi identificada na interface de administração web do IOS XE e pode ser explorada quando um dispositivo afetado é exposto à Internet.
Os dispositivos que executam o software Cisco IOS XE incluem switches empresariais, controladores sem fio, pontos de acesso e roteadores industriais, amplamente utilizados por empresas e organizações menores para gerenciar a segurança de suas redes.
Segundo o braço de inteligência de ameaças da Cisco, Talos, hackers desconhecidos têm explorado essa vulnerabilidade de dia zero desde pelo menos 18 de setembro. A exploração bem-sucedida concede ao invasor “controle total do dispositivo comprometido”, abrindo caminho para atividades não autorizadas na rede corporativa da vítima.
Embora a Cisco ainda não tenha comentado a escala da exploração, o mecanismo de busca de dispositivos conectados à Internet, Censys, relatou quase 42 mil dispositivos Cisco comprometidos até 18 de outubro, com um aumento significativo nas infecções em comparação com o dia anterior. A maioria dos dispositivos comprometidos está localizada nos Estados Unidos, seguidos pelas Filipinas e pelo México. Os pesquisadores do Censys apontaram que os hackers direcionaram empresas de telecomunicações que oferecem serviços de Internet para residências e empresas, tornando entidades menores e indivíduos mais suscetíveis.
A Cisco ainda não lançou um patch para a vulnerabilidade de dia zero, classificada com gravidade máxima de 10,0. A empresa está trabalhando na correção, mas a data de disponibilidade do patch não foi divulgada.
A vulnerabilidade afeta dispositivos físicos e virtuais que executam o software IOS XE e possuem o recurso de servidor HTTP ou HTTPS habilitado. Como medida temporária, a Cisco recomenda fortemente que os clientes desabilitem o recurso HTTP Server em todos os sistemas voltados para a Internet.
A autoria do ataque cibernético permanece desconhecida. A Cisco Talos sugeriu que, após a exploração inicial da vulnerabilidade em setembro, observou atividade adicional em 12 de outubro, possivelmente relacionada ao mesmo ator. Os hackers também exploraram uma vulnerabilidade anterior, CVE-2021-1435, que foi corrigida pela Cisco em 2021, para instalar o implante após ganhar acesso ao dispositivo.
Além de desativar o HTTP Server, a Cisco instou os administradores de dispositivos potencialmente comprometidos a buscar sinais de comprometimento em suas redes. A CISA, a agência de segurança cibernética do governo dos EUA, está recomendando que as agências federais adotem medidas de mitigação até 20 de outubro.