Actores de amenazas están explotando otra falla de día cero en el software IOS XE de Cisco para implantar una puerta trasera maliciosa. El sistema operativo IOS XE se ejecuta en una amplia gama de dispositivos de red Cisco, incluidos enrutadores, conmutadores, controladores inalámbricos, puntos de acceso y más.
La vulnerabilidad, divulgada por Cisco como CVE-2023-20273, aprovechó una falla de día cero publicada a principios de semana rastreada como CVE-2023-20198, que permite a un atacante remoto no autenticado crear una cuenta en un dispositivo afectado y use esa cuenta para obtener privilegios completos de administrador, lo que permitirá una toma completa del sistema.
La última actividad incluye la implementación de un implante basado en Lua que permite al atacante ejecutar comandos arbitrarios a nivel del sistema o a nivel de IOS, dijo Cisco. CVE-2023-20198 tiene una puntuación CVSS de 10,0 y CVE-2023-20273 tiene una puntuación CVSS de 7,2.
El gigante tecnológico con sede en San José, California, dijo que identificó una solución e inició el proceso de construcción, prueba y lanzamiento y espera un lanzamiento de software en el Centro de descarga de software de Cisco el 22 de octubre.
A principios de este mes, Cisco lanzó soluciones urgentes a una vulnerabilidad crítica que afecta a un sistema de comunicación de emergencia que rastrea la ubicación de las personas que llaman en tiempo real. Un desarrollador codificó inadvertidamente credenciales en el software de enrutamiento y seguimiento Cisco Emergency Responder, lo que abrió una puerta trasera permanente para posibles atacantes no autenticados.
La posible actividad maliciosa se descubrió por primera vez el 28 de septiembre, cuando el equipo detrás del Centro de Asistencia Técnica de Cisco identificó un comportamiento inusual en el dispositivo de un cliente. Una investigación más exhaustiva reveló el primer caso de la actividad ya el 18 de septiembre.
Las vulnerabilidades afectan al software Cisco IOS XE cuando la función de interfaz de usuario web está habilitada a través de los comandos ip http server o ip http Secure-server.
Para determinar si un sistema se ha visto comprometido, Cisco recomienda realizar verificaciones de registros del sistema para comprender la presencia de mensajes de registro en los que los usuarios podrían ser cisco_tac_admin, cisco_support o cualquier usuario local configurado que sea desconocido para el administrador de la red.
Cisco también dijo que limitar el acceso al servidor HTTP a redes confiables limitará la exposición a estas vulnerabilidades.
El 18 de octubre, el proveedor de inteligencia sobre amenazas Censys encontró más de 40.000 dispositivos vulnerables, pero ese número cayó a 36.541 en 24 horas.
Info – Ciberseguridad Latam