Cisco advierte sobre una falla de seguridad crítica y sin parches que afecta al software Cisco IOS XE WebUI. La vulnerabilidad por ahora no tiene parche, está bajo explotación activa y existen miles de dispositivos vulnerables y ya comprometidos.
Arraigada en la función de interfaz de usuario web, la vulnerabilidad Zero-Day es identificada como CVE-2023-20198 y se le ha asignado la calificación de gravedad máxima de 10 en el sistema de puntuación CVSS.
Vale la pena señalar que la deficiencia solo afecta a los equipos de redes empresariales que tienen habilitada la función de interfaz de usuario web y cuando están expuestos a Internet o a redes que no son de confianza.
Hay al menos 40.000 dispositivos comprometidos y en aumento a medida que aparecen varios PoCs. La cantidad de dispositivos expuestos supera la cantidad de 140.000.
"Esta vulnerabilidad permite a un atacante remoto y no autenticado crear una cuenta en un sistema afectado con acceso de nivel de privilegio 15", dijo Cisco en un aviso el lunes. "El atacante puede entonces utilizar esa cuenta para hacerse con el control del sistema afectado".
El problema afecta tanto a los dispositivos físicos como a los virtuales que ejecutan el software Cisco IOS XE y que también tienen habilitada la función de servidor HTTP o HTTPS. Como mitigación, se recomienda desactivar la función del servidor HTTP en los sistemas conectados a Internet.
La empresa de equipos de redes dijo que descubrió el problema después de detectar actividad maliciosa en un dispositivo de cliente no identificado ya el 18 de septiembre de 2023, en el que un usuario autorizado creó una cuenta de usuario local con el nombre de usuario "cisco_tac_admin" desde una dirección IP sospechosa. La actividad inusual terminó el 1 de octubre de 2023.
En un segundo grupo de actividad relacionada que se detectó el 12 de octubre de 2023, un usuario no autorizado creó una cuenta de usuario local con el nombre "cisco_support" desde una dirección IP diferente.
Se dice que esto fue seguido por una serie de acciones que culminaron con el despliegue de un implante basado en LUA que permite al actor ejecutar comandos arbitrarios a nivel del sistema o a nivel de IOS.
La instalación del implante se logra explotando CVE-2021-1435, una falla ahora parcheada que afecta la interfaz de usuario web del software Cisco IOS XE, así como un mecanismo aún indeterminado en los casos en que el sistema está completamente parcheado contra CVE. -2021-1435.
"Para que el implante se active, se debe reiniciar el servidor web; en al menos un caso observado, el servidor no se reinició, por lo que el implante nunca se activó a pesar de estar instalado", dijo Cisco.
La puerta trasera, guardada en la ruta del archivo "/usr/binos/conf/nginx-conf/cisco_service.conf", no es persistente, lo que significa que no sobrevivirá al reinicio del dispositivo. Dicho esto, las cuentas privilegiadas fraudulentas que se crean siguen activas.
Los investigadores de Cisco Talos recomendaron a las organizaciones que permanezcan atentas a cualquier usuario sospechoso que aparezca en los dispositivos Cisco IOS XE, como posibles indicios de una vulnerabilidad explotada. También proporcionaron un comando para que las organizaciones verifiquen la presencia del implante en cualquier dispositivo afectado:
curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"
Cisco ha atribuido los dos conjuntos de actividades presumiblemente al mismo actor de amenazas, aunque los orígenes exactos del adversario están actualmente confusos.
Fuente: THN