Vulnerabilidad Software Cisco IOS XE

20 Nov
Cisco IOS EX


Vulnerabilidad Crítica Zero-Day en el Software Cisco IOS XE

Cisco advierte sobre una vulnerabilidad zero-day crítica en el software IOS

El 17 de octubre de 2023, Cisco emitió un comunicado alertando sobre una vulnerabilidad crítica de seguridad zero-day sin parchear que afecta al software IOS XE y que está siendo actualmente explotada.

Esta vulnerabilidad, identificada como CVE-2023-20198 y con una calificación máxima de 10.0 en el sistema CVSS, reside en la característica de interfaz de usuario web.

Es relevante destacar que esta vulnerabilidad impacta exclusivamente a los dispositivos de red empresarial que tienen habilitada la interfaz de usuario web y están expuestos a Internet o a redes no confiables. Cisco informa que «permite a un atacante remoto y no autenticado crear una cuenta en un sistema afectado con acceso de nivel 15. El atacante puede luego usar esa cuenta para tomar el control del sistema afectado».

La problemática afecta tanto a dispositivos físicos como virtuales que ejecutan el software Cisco IOS XE y tienen activada la función de servidor HTTP o HTTPS. Como medida de mitigación, se recomienda desactivar la función del servidor HTTP en sistemas expuestos a Internet.

La vulnerabilidad fue descubierta por Cisco después de detectar actividad maliciosa en un dispositivo de cliente no identificado a partir del 18 de septiembre de 2023. Se observó que un usuario autorizado creó una cuenta de usuario local con el nombre de usuario «cisco_tac_admin» desde una dirección IP sospechosa. Esta actividad se detuvo el 1 de octubre de 2023.

En otra serie de actividades detectadas el 12 de octubre de 2023, un usuario no autorizado creó una cuenta de usuario local con el nombre «cisco_support» desde una dirección IP diferente. Esto condujo a la implementación de un implante basado en Lua que permitía ejecutar comandos arbitrarios a nivel del sistema o del IOS. La instalación del implante se logró explotando CVE-2021-1435, una falla ya parcheada, y un mecanismo no identificado en sistemas completamente parcheados contra CVE-2021-1435.

Aunque la backdoor se guarda en la ruta de archivo «/usr/binos/conf/nginx-conf/cisco_service.conf» y no es persistente, las cuentas privilegiadas falsas creadas permanecen activas después de un reinicio del dispositivo. Cisco atribuye ambos conjuntos de actividades al mismo actor de amenazas, aunque el origen exacto aún no se ha determinado.

Esta situación llevó a la Agencia de Seguridad Cibernética e Infraestructura de los Estados Unidos (CISA) a emitir una alerta e incluir la vulnerabilidad en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV). En abril de 2023, agencias de ciberseguridad e inteligencia del Reino Unido y Estados Unidos advirtieron sobre campañas respaldadas por el estado dirigidas a la infraestructura de red global.

Cisco destaca que los dispositivos de enrutamiento y conmutación son objetivos preferidos para actores de amenazas en busca de sigilo y acceso a capacidades de inteligencia.


Si tienes alguna pregunta, escríbenos a mira@miratelecomunicacions.com.

Tags: , , ,
Leave a comment

Your email address will not be published. Required fields are marked *

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies.

ACEPTAR
Aviso de cookies