Le 16 octobre 2023, Cisco alerte dans son bulletin de sécurité la découverte de la CVE-2023-20198 : une vulnérabilité critique et activement exploitée qui affecte l’interface utilisateur Web de Cisco IOS XE.
Mise à jour du 31 octobre 2023 : Cette faille provient d’un défaut de contrôle des requêtes envoyées par l’utilisateur et permet de contourner des vérifications effectués par Nginx.
Mise à jour du 31 octobre 2023 : En voyant une requête spécifiquement forgée, un attaquant non authentifié peut accéder au service wsma, sans passer par WSMASendCommand (qui vérifie l’authentification), lui permettant d’exécuter des commandes, modifier la configuration et de créer un nouvel utilisateur disposant de privilèges de niveau 15.
Cette vulnérabilité est activement exploitée.
Mise à jour du 31 octobre 2023 : Le 25 octobre, Censys estime qu’environ 28 000 appareils Cisco exposés surinternet ont été compromis