Sélection de la langue

Alerte - Vulnérabilité touchant des appareils Cisco (CVE-2023-20198) - Mise à jour 3

Numéro : AL23-016
Date : 18 octobre 2023
Mise à jour : 1 novembre 2023

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 16 octobre 2023, Cisco a signaléNote de bas de page 1Note de bas de page 2 qu’une vulnérabilité critique du jour zéro d’élévation des privilèges dans l’interface utilisateur Web (Web UI) des routeurs, des commutateurs et des contrôleurs sans fil exécutant le logiciel Cisco IOS XE est exploitée à distance pour obtenir un accès privilégié.

Cette vulnérabilité porte le numéro CVE-2023-20198 et a reçu la cote CVSS maximale de 10.0.Note de bas de page 3

Selon des rapports de sources ouvertes, des milliers d’appareils vulnérables en ligne ont été compromis.Note de bas de page 4Note de bas de page 5Note de bas de page 6

La présente alerte est publiée pour accroître la sensibilisation à cette vulnérabilité, mettre en lumière les possibles répercussions qu’elle pourrait avoir sur les organisations et fournir des conseils aux organisations susceptibles d’être ciblées par ces activités malveillantes.

Mise à jour 1

Le 22 octobre 2023, Cisco a mis à jour son avisNote de bas de page 1 pour indiquer que les premières mises à jour sont désormais disponibles pour certaines versions du logiciel IOS XE. Cisco a également publié un document sur la disponibilité des correctifs logiciels pour faciliter l’identification des produits concernés et la date à laquelle les images pourront être téléchargées.Note de bas de page 9

Le 20 octobre 2023, Cisco a mis à jour son avisNote de bas de page 1 pour y ajouter de l’information au sujet d’une vulnérabilité supplémentaire qui a été exploitée par des auteurs de menace. Après avoir exploité la vulnérabilité CVE-2023-20198 pour obtenir l’accès initial aux appareils vulnérables, on a observé que des auteurs de menace ont exploité la vulnérabilité CVE-2023-20273 pour élever leurs privilèges afin de rédiger une porte dérobée dans des appareils.

Le Centre pour la cybersécurité recommande aux organisations de continuer à surveiller les avis et le blogue de CiscoNote de bas de page 1Note de bas de page 2 ainsi que le document sur la disponibilité des correctifs logicielsNote de bas de page 9 pour être au courant des dernières mises à jour sur les moyens de corriger ces vulnérabilités.

Mise à jour 2

Le 23 octobre 2023, Cisco Talos a mis à jour son blogueNote de bas de page 2 pour indiquer qu’il avait relevé une version mise à jour de la porte dérobée et que celle-ci comprenait désormais une vérification préliminaire de l’en-tête d’autorisation HTTP. Talos a émis l’hypothèse que cette fonction de vérification d’en-tête avait probablement été ajoutée comme moyen de nuire à la capacité de détecter les dispositifs touchés.

La porte dérobée ayant été mise à jour possède la plupart des fonctionnalités de base de la version initiale et Talos croit qu’elle est utilisée depuis le 20 octobre. Pour aider à détecter la nouvelle porte dérobée, Talos a mis à jour son blogue pour y ajouter de l’orientation additionnelle sur la façon de détecter la présence d’une ou l’autre des variantes de la porte dérobée.Note de bas de page 2

L’exploitation fructueuse de cette vulnérabilité permet à une auteure ou un auteur malveillant d’obtenir un accès (administratif) de « niveau 15 » au dispositif. L’auteure ou l’auteur malveillant peut alors utiliser cet accès pour recueillir de l’information sur la configuration, créer des comptes d’administrateur additionnels et tirer avantage d’une autre vulnérabilité (CVE-2023-20273) afin d’exécuter du code arbitraire sur le dispositif avec des privilèges élevés.

Le Centre pour la cybersécurité est au courant que des organisations canadiennes ont été touchées par les versions initiale et mise à jour de la porte dérobée. Il recommande fortement à toutes les organisations de vérifier leurs environnements en réseau, d’identifier tous les dispositifs potentiellement touchés et de mettre en œuvre les mesures suggérées ci-dessous.

Mise à jour 3

Entre le 27 et le 31 octobre 2023, Cisco a mis à jour son bulletin Note de bas de page 1 pour souligner la publication de nouveaux correctifs visant les dispositifs vulnérables aux CVE-2023-20198 et CVE-2023-20273.

Le 28 octobre 2023, un code de preuve de concept a été publié dans une source ouverte, et des activités supplémentaires ciblant les vulnérabilités ont été signalées. Les organisations qui ont un accès externe continu à distance aux services vulnérables devraient tenir pour acquis que les dispositifs ont été entièrement compromis. Les activités malveillantes touchant ces dispositifs pourraient mener à l’accès au réseau interne. Par conséquent, il est recommandé que les organisations amorcent leurs activités d’intervention en cas de cyberincident. Note de bas de page 7

Mesures recommandées

Le Centre pour la cybersécurité recommande aux organisations de prendre les mesures suivantes :

  • suivre les conseils et les mesures d’atténuation énoncés dans le bulletin de menace de Cisco TalosNote de bas de page 2;
  • prioriser l’examen des appareils qui sont exposés à Internet et qui sont essentiels à votre organisation;
  • utiliser les outils de journalisation centralisée disponibles pour examiner les activités de création de comptes;
  • appliquer les correctifs aux systèmes touchés dès la publication des mises à jour permettant de corriger cette vulnérabilité.

Le Centre pour la cybersécurité tient à souligner qu’il est possible que l’atténuation de problèmes, de systèmes ou de serveurs individuels ne suffise pas à atténuer une compromission de systèmes orchestrée par des auteures et auteurs de menace hautement qualifiés. Le Centre pour la cybersécurité recommande aux clientes et clients touchés de passer en revue son bulletin de cybersécurité conjoint sur les approches techniques à la détection et à l’atténuation des activités malveillantesNote de bas de page 7.

De plus, le Centre pour la cybersécurité recommande fortement aux organisations de mettre en œuvre les 10 mesures de sécurité des TINote de bas de page 8 du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :

  • intégrer, surveiller et défendre les passerelles Internet;
  • isoler les applications Web.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l'entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.

Date de modification :