Cisco advierte sobre una falla de seguridad crítica
y sin parches que afecta al software Cisco IOS XE WebUI. La vulnerabilidad por
ahora no tiene parche, está bajo explotación activa y existen miles de
dispositivos vulnerables y ya comprometidos.
Arraigada en la función de interfaz de usuario web, la vulnerabilidad Zero-Day
es identificada como
CVE-2023-20198
y se le ha asignado la calificación de gravedad máxima de 10 en el sistema de
puntuación CVSS.
Vale la pena señalar que la deficiencia solo afecta a los equipos de redes
empresariales que tienen habilitada la función de interfaz de usuario web y
cuando están expuestos a Internet o a redes que no son de confianza.
Hay al menos 40.000 dispositivos comprometidos y en aumento a medida que
aparecen
varios PoCs y scanners. La cantidad de dispositivos expuestos
supera la cantidad de 140.000.
- Shodan:
http.html_hash:1076109428,-2027312840 -
Netlas:
certificate.issuer_dn:"IOS-Self-Signed-Certificate" AND
http.body:"webui" -
Censys:
services.http.response.body_hash="sha1:c463e275d21f96391a242ae3d0bf5f1d2c15edeb"
or
services.http.response.body_hash="sha1:f3f91fd07eb71a7f8ff34111d85cde781070c4ed" - Censys:
services.labels=cisco-xe-webui
Sólo en
Argentina hay más de 850 dispositivos potencialmente vulnerables y más de
300 ya vulnerados.
«Esta vulnerabilidad permite a un atacante remoto y no autenticado crear
una cuenta en un sistema afectado con acceso de nivel de privilegio 15», dijo Cisco en un aviso el lunes.
«El atacante puede entonces utilizar esa cuenta para hacerse con el control
del sistema afectado».
El problema afecta tanto a los dispositivos físicos como a los virtuales que
ejecutan el software Cisco IOS XE y que también tienen habilitada la función
de servidor HTTP o HTTPS.
Como mitigación,
CISCO recomienda
desactivar la función del servidor HTTP en los sistemas conectados a
Internet.
La empresa de equipos de redes dijo que descubrió el problema después de
detectar actividad maliciosa en un dispositivo de cliente no identificado ya
el 18 de septiembre de 2023, en el que un usuario autorizado creó una cuenta
de usuario local con el nombre de usuario «cisco_tac_admin» desde una
dirección IP sospechosa. La actividad inusual terminó el 1 de octubre de 2023.
En un segundo grupo de actividad relacionada que se detectó el 12 de octubre
de 2023, un usuario no autorizado creó una cuenta de usuario local con el
nombre «cisco_support» desde una dirección IP diferente.
Se dice que esto fue seguido por una serie de acciones que culminaron con el
despliegue de un implante basado en LUA que permite al actor ejecutar comandos
arbitrarios a nivel del sistema o a nivel de IOS.
La instalación del implante se logra explotando CVE-2021-1435, una falla ahora
parcheada que afecta la interfaz de usuario web del software Cisco IOS XE, así
como un mecanismo aún indeterminado en los casos en que el sistema está
completamente parcheado contra CVE-2021-1435.
«Para que el implante se active, se debe reiniciar el servidor web; en al
menos un caso observado, el servidor no se reinició, por lo que el implante
nunca se activó a pesar de estar instalado», dijo Cisco.
La puerta trasera, guardada en la ruta del archivo
«/usr/binos/conf/nginx-conf/cisco_service.conf», no es persistente, lo
que significa que no sobrevivirá al reinicio del dispositivo. Dicho esto, las
cuentas privilegiadas fraudulentas que se crean siguen activas.
Los investigadores de Cisco Talos recomendaron a las organizaciones que
permanezcan atentas a cualquier usuario sospechoso que aparezca en los
dispositivos Cisco IOS XE, como posibles indicios de una vulnerabilidad
explotada. También proporcionaron un comando para que las organizaciones
verifiquen la presencia del implante en cualquier dispositivo afectado:
curl -k -X POST "hxxps://IP/webui/logoutconfirm.html?logon_hash=1"
curl -k -X POST "hxxps://IP/webui/logoutconfirm.html?menu=1"
Cisco ha atribuido los dos conjuntos de actividades presumiblemente al mismo
actor de amenazas, aunque los orígenes exactos del adversario están
actualmente confusos.
Aquí hay un
script para analizar si un dispositivo es vulnerable. Actualmente solo en
Argentina hay más de 800 dispositivos posiblemente vulnerables. La empresa chilena
Cronup está haciendo un seguimiento
de la vulnerabilidad y su impacto.
Actualización 20/10
Utilizando el mismo método de verificación de Cisco, el CERT privado de Orange
anunció el miércoles que había más de
34.500 direcciones IP de Cisco IOS XE con un implante malicioso
como
resultado de la explotación de CVE-2023-20198.
CERT Orange también publicó un
script Python
para buscar la presencia del implante malicioso en un dispositivo de red que
ejecuta Cisco IOS XE.
En una actualización del 18 de octubre, la plataforma de búsqueda Censys para
evaluar la superficie de ataque para dispositivos conectados a Internet dijo
que la cantidad de dispositivos comprometidos que encontró
aumentó a 41.983. El investigador de seguridad
Yutaka Sejiyama también buscó en Shodan
dispositivos Cisco IOS XE vulnerables a CVE-2023-20198 y encontró cerca de
90.000 hosts expuestos en la web.
Cisco actualizó su aviso con nuevas direcciones IP y nombres de usuario de atacantes, así como
nuevas reglas para el sistema de detección de intrusiones en la red de código
abierto Snort y el sistema de prevención de intrusiones.
Actualización 23/10
Varias empresas de ciberseguridad están escaneando Internet en busca de
sistemas ya hackeados y en un momento identificaron más de
40.000 equipos Cisco comprometidos, y algunos
vieron hasta 53.000 dispositivos.
La industria de la ciberseguridad está experimentando ahora una
fuerte caída en el número de dispositivos infectados: la
Fundación Shadowserver ha encontrado la puerta trasera en sólo 100
sistemas. CERT Orange Cyberdefense cree que los atacantes pueden estar intentando
ocultar el implante
y advirtió que es probable que todavía haya muchos dispositivos hackeados,
incluso si ya no aparecen en los escaneos.
Vale la pena señalar que, si bien la cuenta creada mediante la explotación
de CVE-2023-20198 es persistente, el implante no lo es y se elimina cuando
se reinicia el dispositivo.
La agencia de ciberseguridad estadounidense
CISA ha publicado una guía para abordar CVE-2023-20198 y CVE-2023-20273. También agregó ambas vulnerabilidades a su
Catálogo de Vulnerabilidades Explotadas y Conocidas (Known Exploited Vulnerabilities Catalog – KEV), instruyendo a las agencias federales a abordarlas de inmediato.
Referencias
Los comentarios están cerrados.