[19/10/2023] El equipo de seguridad Talos de Cisco ha advertido de que el software IOS XE que se ejecuta en muchos de sus dispositivos último modelo tiene una vulnerabilidad crítica de día cero que ya ha dado lugar a exploits en la naturaleza, con atacantes aparentemente capaces de tomar el control total de los productos de red afectados, incluidos los routers.
El equipo de Talos, en un blog publicado el lunes, señaló que la vulnerabilidad -rastreada como CVE-2023-20198- se encontró en la función de interfaz de usuario web del software IOS XE, lo que significa que puede utilizarse para atacar cualquier dispositivo que ejecute la funcionalidad de servidor HTTP o HTTPS. El problema se detectó por primera vez a finales de septiembre, pero Cisco no se percató de todos los detalles hasta el 12 de octubre, cuando se utilizó una dirección IP sospechosa para crear una cuenta de usuario local en un dispositivo cliente sin autorización.
La explotación de la falla, que según la empresa puede permitir a usuarios remotos crear cuentas de administrador plenamente funcionales y hacer con ellas prácticamente lo que quieran, depende de un "implante" de un archivo de configuración, que requiere un reinicio del servidor web para activarse. Ese implante se realizó utilizando una segunda vulnerabilidad conocida, así como "un mecanismo aún por determinar", anotó Talos en su blog.
Aún no existe un parche para esta grave falla de seguridad, pero Cisco recomienda encarecidamente a los usuarios de dispositivos potencialmente vulnerables que desactiven las funciones de servidor HTTP/S en cualquiera de sus dispositivos que se conecten a Internet o a otras redes no fiables. Un aviso de amenaza detalla los pasos a seguir para los usuarios que necesiten comprobar si sus dispositivos Cisco están ejecutando el servidor HTTP/S, así como un método de línea de comandos para comprobar la presencia del implante malicioso.
"Basándonos en un mayor conocimiento del exploit, evaluamos con un alto grado de confianza que las listas de acceso aplicadas a la función de servidor HTTP para restringir el acceso desde hosts y redes no fiables constituyen una medida de mitigación eficaz", indicó el comunicado de Cisco.
Se desconoce la identidad de la parte o partes que han explotado esta vulnerabilidad, pero las posibilidades de que estos malhechores utilicen equipos de red comprometidos son muy amplias, según Michelle Abraham, directora de investigación de IDC.
"El actor de la amenaza puede utilizar el router en un ataque DDoS, también podría utilizarlo para interceptar el tráfico de red o alterar el tráfico", sostuvo. "También es posible añadir firmware malicioso al router que proporcione un acceso de puerta trasera persistente".
Basado en el artículo de Jon Gold (CSO) y editado por CIO Perú