Una vulnerabilità zero-day recentemente scoperta (CVE-2023-20198) nella funzione Web UI di Cisco IOS XE sta sollevando preoccupazioni. Questa vulnerabilità colpisce i dispositivi con funzionalità di server HTTP/HTTPS esposte quando sono connessi a Internet o a reti non affidabili. La Web UI è un’applicazione di amministrazione del sistema basata sull’interfaccia utente grafica progettata per semplificare la gestione del sistema. Tuttavia, a causa dei potenziali rischi per la sicurezza, si consiglia di non esporre la Web UI a Internet o a reti non affidabili.
Cisco ha rilevato un’attività sospetta su un dispositivo di un cliente a partire dal 18 settembre, che è stata confermata entro il 28 settembre. Questa attività coinvolgeva la creazione di un account ‘cisco_tac_admin’ da un indirizzo IP insolito. Entro il 12 ottobre, Cisco Talos Incident Response e TAC hanno identificato un’attività correlata in cui un utente non autorizzato ha creato un account ‘cisco_support’. Questo utente ha implementato un impianto per stabilire un nuovo punto di accesso del server web per l’esecuzione di comandi a livello di sistema o IOS. Anche se l’impianto non è persistente, esso crea account utente a livello di amministratore.
La vulnerabilità ha un punteggio CVSS critico di 10, concedendo agli aggressori pieno accesso da amministratore e controllo sul router. L’attore ha sfruttato un’altra vulnerabilità, CVE-2021-1435, per installare l’impianto su dispositivi completamente aggiornati. Questo impianto, codificato in Lua, consente l’esecuzione di comandi arbitrari.
Cisco ha pubblicato dettagli sulla falla, inclusa la sua gravità come “Critica”. Le organizzazioni potenzialmente interessate sono invitate a seguire la guida PSIRT di Cisco, a controllare la presenza di utenti insoliti e ad eseguire un comando specifico per rilevare la presenza dell’impianto nella Web UI. Se il comando restituisce una stringa esadecimale, l’impianto è presente. Cisco ha anche fornito indicatori di compromissione, tra cui specifici indirizzi IP e nomi utente associati a questa attività.
Source: Cyber Security News
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.