Cisco ha identificado una segunda vulnerabilidad zero-day en su software IOS XE, incluso cuando el número de dispositivos comprometidos parece estar disminuyendo. La semana pasada, Cisco alertó a sus usuarios sobre una explotación activa de un zero-day desde mediados de septiembre. Esta vulnerabilidad crítica, etiquetada como CVE-2023-20198, afecta la interfaz web de IOS XE y puede ser explotada a distancia por atacantes no autenticados para establecer cuentas de alto privilegio en dispositivos Cisco.
Una vez que estos atacantes establecen nuevas cuentas y obtienen privilegios de sistema raíz, implementan un implante basado en Lua, permitiéndoles ejecutar cualquier comando. Inicialmente, Cisco creía que los atacantes estaban explotando una vulnerabilidad anterior de IOS XE, CVE-2021-1435, para desplegar este implante. Sin embargo, tras observar ataques en sistemas parcheados, sospecharon que otro zero-day podría estar en juego. Cisco ha confirmado ahora la explotación de un segundo zero-day, CVE-2023-20273, para entregar el implante.
Anteriormente, Cisco solo ofrecía estrategias de mitigación, pero ahora han lanzado parches para ambas vulnerabilidades. A pesar de esto, las organizaciones deben tomar medidas adicionales para limpiar sus sistemas. En el apogeo de la campaña, las empresas de ciberseguridad detectaron más de 40,000 switches y routers Cisco comprometidos, con algunas estimaciones que alcanzan los 53,000 dispositivos. Sin embargo, datos recientes de la Fundación Shadowserver indican una reducción significativa, identificando el backdoor en solo 100 sistemas.
Mientras que la cuenta creada a través de la explotación de CVE-2023-20198 permanece, el implante no persiste después de un reinicio del dispositivo. Actualmente, no hay información sobre los atacantes o sus objetivos. La agencia de ciberseguridad de EE. UU., CISA, ha proporcionado orientación sobre cómo abordar ambas vulnerabilidades y las ha añadido a su Catálogo de Vulnerabilidades Explotadas Conocidas, instando a las agencias federales a abordarlas inmediatamente.
Source: SecurityWeek
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.