Una vulnerabilidad zero-day recién descubierta (CVE-2023-20198) en la función Web UI de Cisco IOS XE está causando preocupación. Esta vulnerabilidad afecta a dispositivos con funcionalidad de servidor HTTP/HTTPS expuesta cuando están conectados a Internet o a redes no confiables. La Web UI es una aplicación de administración del sistema basada en una interfaz de usuario gráfica diseñada para simplificar la gestión del sistema. Sin embargo, debido a los potenciales riesgos de seguridad, se recomienda no exponer la Web UI a Internet o a redes poco fiables.
Cisco detectó actividad sospechosa en un dispositivo de un cliente a partir del 18 de septiembre, la cual fue confirmada para el 28 de septiembre. Esta actividad involucró la creación de una cuenta ‘cisco_tac_admin’ desde una dirección IP inusual. Para el 12 de octubre, Cisco Talos Incident Response y TAC identificaron una actividad relacionada donde un usuario no autorizado creó una cuenta ‘cisco_support’. Este usuario implementó un implante para establecer un nuevo punto de acceso del servidor web para la ejecución de comandos a nivel de sistema o IOS. Aunque el implante no es persistente, crea cuentas de usuario con nivel de administrador.
La vulnerabilidad tiene una puntuación CVSS crítica de 10, otorgando a los atacantes acceso y control total de administrador sobre el router. El actor explotó otra vulnerabilidad, CVE-2021-1435, para instalar el implante en dispositivos completamente actualizados. Este implante, codificado en Lua, permite la ejecución de comandos arbitrarios.
Cisco ha publicado detalles sobre el fallo, incluyendo su gravedad como “Crítico”. Se aconseja a las organizaciones potencialmente afectadas que sigan las guías de PSIRT de Cisco, que busquen usuarios inusuales y que ejecuten un comando específico para detectar la presencia del implante en la Web UI. Si el comando devuelve una cadena hexadecimal, el implante está presente. Cisco también proporcionó indicadores de compromiso, incluyendo direcciones IP específicas y nombres de usuario asociados con esta actividad.
Source: Cyber Security News
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.