Una vulnerabilitat zero-day recentment descoberta (CVE-2023-20198) a la funció Web UI de Cisco IOS XE està causant preocupació. Aquesta vulnerabilitat afecta dispositius amb funcionalitat de servidor HTTP/HTTPS exposada quan estan connectats a Internet o a xarxes no fiables. La Web UI és una aplicació d’administració del sistema basada en una interfície d’usuari gràfica dissenyada per simplificar la gestió del sistema. Tanmateix, a causa dels potencials riscs de seguretat, es recomana no exposar la Web UI a Internet o a xarxes no fiables.
Cisco va detectar activitat sospitosa en un dispositiu d’un client a partir del 18 de setembre, la qual va ser confirmada el 28 de setembre. Aquesta activitat va implicar la creació d’un compte ‘cisco_tac_admin’ des d’una adreça IP inusual. Per al 12 d’octubre, Cisco Talos Incident Response i TAC van identificar una activitat relacionada on un usuari no autoritzat va crear un compte ‘cisco_support’. Aquest usuari va implementar un implant per establir un nou punt d’accés del servidor web per a l’execució de comandes al nivell de sistema o IOS. Encara que l’implant no és persistent, crea comptes d’usuari amb nivell d’administrador.
La vulnerabilitat té una puntuació CVSS crítica de 10, concedint als atacants accés complet d’administrador i control sobre el router. L’actor va explotar una altra vulnerabilitat, CVE-2021-1435, per instal·lar l’implant en dispositius totalment actualitzats. Aquest implant, codificat en Lua, permet l’execució de comandes arbitràries.
Cisco ha publicat detalls sobre la fallada, incloent la seva gravetat com a “Crític”. Es recomana a les organitzacions potencialment afectades seguir les guies de PSIRT de Cisco, buscar usuaris inusuals i executar una comanda específica per detectar la presència de l’implant a la Web UI. Si la comanda retorna una cadena hexadecimal, l’implant és present. Cisco també va proporcionar indicadors de compromís, incloent adreces IP específiques i noms d’usuari associats amb aquesta activitat.
Source: Cyber Security News
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.