[24/10/2023] Cisco ha publicado correcciones para hacer frente a dos vulnerabilidades -CVE-2023-20198 y CVE-2023-20273- que los hackers han explotado para comprometer decenas de miles de dispositivos IOS XE.
CVE-2023-20198 podría permitir a un atacante remoto no autenticado crear una cuenta en un sistema afectado con nivel de privilegio 15 de acceso. El atacante puede entonces utilizar esa cuenta para obtener el control del sistema afectado. A CVE-2023-20198 se le ha asignado una puntuación CVSS de 10,0.
CVE-2023-20273 podría permitir a un atacante remoto autenticado inyectar comandos arbitrarios como usuario root. A CVE-2023-20273 se le ha asignado una puntuación CVSS de 7,2.
El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) instó a las organizaciones a mitigar las vulnerabilidades de Cisco IOS XE y a seguir las mejores prácticas del proveedor. El NCSC declaró que está trabajando con las organizaciones británicas que se sabe están afectadas, y ha notificado a las empresas afectadas que se han suscrito al servicio de alerta temprana del NCSC.
Las vulnerabilidades afectan al software Cisco IOS XE si está activada la función de interfaz de usuario web
Las vulnerabilidades CVE-2023-20198 y CVE-2023-20273 afectan al software Cisco IOS XE si está activada la función de interfaz de usuario web, señaló Cisco en su alerta. La interfaz de usuario web es una herramienta de gestión del sistema basada en una interfaz gráfica de usuario integrada que permite aprovisionar el sistema, simplificar su despliegue y gestión, y mejorar la experiencia del usuario. La función de interfaz web se activa mediante los comandos ip http server o ip http secure-server.
"Cisco recomienda encarecidamente a los clientes que desactiven la función de servidor HTTP en todos los sistemas que se conecten a Internet, o que restrinjan su acceso a direcciones de origen de confianza", escribió la empresa. "Para desactivar la función Servidor HTTP, utilice el comando no ip http server o no ip http secure-server en el modo de configuración global". Si tanto el servidor HTTP como el servidor HTTPS están en uso, ambos comandos son necesarios para desactivar la función Servidor HTTP, añadió Cisco.
El siguiente árbol de decisión puede utilizarse para ayudar a determinar cómo clasificar un entorno y desplegar protecciones, según Cisco:
- ¿Está ejecutando IOS XE?
- No. El sistema no es vulnerable. No es necesario tomar ninguna otra medida.
- Sí. ¿Está configurado ip http server o ip http secure-server?
- No. Las vulnerabilidades no son explotables. No es necesario tomar ninguna otra medida.
- Sí. ¿Ejecuta servicios que requieren comunicación HTTP/HTTPS (por ejemplo, eWLC)?
- No. Desactive la función Servidor HTTP.
- Sí. Si es posible, restrinja el acceso a esos servicios a redes de confianza.
Varios bugs de Cisco descubiertos recientemente
Cisco ha tenido dos meses muy ajetreados con seis exploits de nivel alto a crítico encontrados en sus sistemas.
CVE-2023-20198, la falla que permite a los usuarios no autenticados crear una cuenta en el sistema afectado con privilegios de "nivel 15", fue descubierto por la compañía mientras resolvía casos de soporte TAC debido a una regla de detección existente para una vulnerabilidad anterior, CVE-2021-1435.
Según el aviso de Cisco, no hay soluciones disponibles para la vulnerabilidad y la única recomendación que ofrece la empresa es desactivar la función de servidor HTTP en todos los sistemas que tengan acceso a Internet hasta que se apliquen los parches.
En cuanto a los indicadores de peligro, la empresa ha aconsejado a los usuarios que busquen nombres de usuario nuevos o desconocidos en los mensajes de configuración que se generan cada vez que se accede a la interfaz de usuario web.
El 19 de octubre, Cisco confirmó otra vulnerabilidad de alta gravedad (CVSS 7.5) en HTTP/2 Rapid Reset, CVE-2023-44487, de la que Google, Amazon AWS y Cloudflare informaron colectivamente la semana pasada que tenía exploits de día cero. La vulnerabilidad permite aprovechar la debilidad del protocolo HTTP/2 para generar enormes ataques de denegación de servicio distribuido (DDoS).
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú