Cisco advierte en un comunicado emitido el pasado lunes 16 de Octubre, sobre una vulnerabilidad zero-day crítica de seguridad sin parchear que afecta al software IOS XE, y que se está explotando actualmente.
La vulnerabilidad zero-day, identificada como CVE-2023-20198 y calificada con un máximo de 10.0 en el sistema CVSS, se encuentra arraigada en la característica de interfaz de usuario web.
Es importante destacar que esta vulnerabilidad solo afecta a los equipos de red empresarial que tienen habilitada la interfaz de usuario web y están expuestos a Internet o a redes no confiables.
«Esta vulnerabilidad permite a un atacante remoto y no autenticado crear una cuenta en un sistema afectado con acceso de nivel 15. El atacante puede luego usar esa cuenta para tomar el control del sistema afectado».
Señaló Cisco en un aviso emitido el lunes.
El problema afecta tanto a dispositivos físicos como virtuales que ejecutan el software Cisco IOS XE y tienen habilitada la función de servidor HTTP o HTTPS. Como medida de mitigación, se recomienda desactivar la función del servidor HTTP en sistemas que estén expuestos a Internet.
Cisco descubrió esta vulnerabilidad después de detectar actividad maliciosa en un dispositivo de cliente no identificado a partir del 18 de septiembre de 2023, donde un usuario autorizado creó una cuenta de usuario local con el nombre de usuario «cisco_tac_admin» desde una dirección IP sospechosa. Esta actividad inusual se detuvo el 1 de octubre de 2023.
En un segundo grupo de actividades relacionadas detectadas el 12 de octubre de 2023, un usuario no autorizado creó una cuenta de usuario local con el nombre «cisco_support» desde una dirección IP diferente. Esto fue seguido por una serie de acciones que culminaron en la implementación de un implante basado en Lua que permite al actor ejecutar comandos arbitrarios a nivel del sistema o del IOS.
La instalación del implante se logra mediante la explotación de CVE-2021-1435, una falla ya parcheada que afecta a la interfaz de usuario web del software Cisco IOS XE, y un mecanismo aún no identificado en casos en los que el sistema está completamente parcheado contra CVE-2021-1435.
Para que el implante se active, el servidor web debe reiniciarse; en al menos un caso observado, el servidor no se reinició, por lo que el implante nunca se activó a pesar de estar instalado.
La backdoor, guardada en la ruta de archivo «/usr/binos/conf/nginx-conf/cisco_service.conf,» no es persistente, lo que significa que no sobrevivirá a un reinicio del dispositivo. Sin embargo, las cuentas privilegiadas falsas que se crean continúan siendo activas.
Cisco ha atribuido los dos conjuntos de actividades presumiblemente al mismo actor de amenazas, aunque el origen exacto del mismo sigue siendo incierto.
«El primer grupo fue posiblemente el intento inicial del actor de probar su código, mientras que la actividad de octubre parece mostrar al actor ampliando su operación para incluir el acceso persistente a través del despliegue del implante».
Señala Cisco
Este desarrollo ha llevado a la Agencia de Seguridad Cibernética e Infraestructura de los Estados Unidos (CISA) a emitir un aviso e incluir la falla en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
En abril de 2023, agencias de ciberseguridad e inteligencia del Reino Unido y Estados Unidos advirtieron sobre campañas respaldadas por el estado dirigidas a la infraestructura de red global. Cisco señaló que los dispositivos de enrutamiento y conmutación son un objetivo preferido para actores de amenazas en busca de sigilo y acceso a capacidades de inteligencia, así como una base en una red preferida.
Más información:
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
- https://nvd.nist.gov/vuln/detail/CVE-2023-20198
- https://learningnetwork.cisco.com/s/blogs/a0D3i000002eeWTEAY/cisco-ios-privilege-levels
- https://nvd.nist.gov/vuln/detail/CVE-2021-1435
- https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
- https://www.cisa.gov/news-events/alerts/2023/10/16/cisco-releases-security-advisory-ios-xe-software-web-ui
- https://www.cisa.gov/news-events/alerts/2023/10/16/cisa-adds-one-known-exploited-vulnerability-catalog
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://blog.talosintelligence.com/state-sponsored-campaigns-target-global-network-infrastructure/
Deja una respuesta