Cisco advirtió sobre una falla de seguridad crítica y sin parches que afecta al software IOS XE y que está bajo explotación activa en la naturaleza.
Arraigada en la función de interfaz de usuario web, la vulnerabilidad de día cero se asigna como CVE-2023-20198 y se le ha asignado la calificación de gravedad máxima de 10,0 en el sistema de puntuación CVSS.
Vale la pena señalar que la deficiencia solo afecta a los equipos de redes empresariales que tienen habilitada la función de interfaz de usuario web y cuando están expuestos a Internet o a redes que no son de confianza.
«Esta vulnerabilidad permite a un atacante remoto y no autenticado crear una cuenta en un sistema afectado con privilegios acceso nivel 15«Cisco dicho en un aviso del lunes. «El atacante puede entonces utilizar esa cuenta para hacerse con el control del sistema afectado».
El problema afecta tanto a los dispositivos físicos como a los virtuales que ejecutan el software Cisco IOS XE y que también tienen habilitada la función de servidor HTTP o HTTPS. Como mitigación, se recomienda desactivar la función del servidor HTTP en los sistemas conectados a Internet.
La importante empresa de equipos de redes dijo que descubrió el problema después de detectar actividad maliciosa en un dispositivo de cliente no identificado ya el 18 de septiembre de 2023, en el que un usuario autorizado creó una cuenta de usuario local con el nombre de usuario «cisco_tac_admin» desde una dirección IP sospechosa. La actividad inusual terminó el 1 de octubre de 2023.
En un segundo grupo de actividad relacionada que se detectó el 12 de octubre de 2023, un usuario no autorizado creó una cuenta de usuario local con el nombre «cisco_support» desde una dirección IP diferente.
Se dice que esto fue seguido por una serie de acciones que culminaron con el despliegue de un implante basado en Lua que permite al actor ejecutar comandos arbitrarios a nivel del sistema o a nivel de IOS.
La instalación del implante se logra aprovechando CVE-2021-1435una falla ahora parcheada que afecta la interfaz de usuario web del software Cisco IOS XE, así como un mecanismo aún indeterminado en los casos en que el sistema está completamente parcheado contra CVE-2021-1435.
«Para que el implante se active, se debe reiniciar el servidor web; en al menos un caso observado, el servidor no se reinició, por lo que el implante nunca se activó a pesar de estar instalado», Cisco dicho.
La puerta trasera, guardada en la ruta del archivo «/usr/binos/conf/nginx-conf/cisco_service.conf», no es persistente, lo que significa que no sobrevivirá al reinicio del dispositivo. Dicho esto, las cuentas privilegiadas fraudulentas que se crean siguen activas.
Cisco ha atribuido los dos conjuntos de actividades presumiblemente al mismo actor de amenazas, aunque los orígenes exactos del adversario están actualmente confusos.
«El primer grupo fue posiblemente el intento inicial del actor de probar su código, mientras que la actividad de octubre parece mostrar al actor expandiendo su operación para incluir el establecimiento de un acceso persistente mediante el despliegue del implante», señaló la compañía.
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir un consultivo y agrega el defecto a las vulnerabilidades explotadas conocidas (KEV) catálogo.
En abril de 2023, las agencias de inteligencia y ciberseguridad del Reino Unido y EE. UU. alertaron sobre campañas patrocinadas por estados dirigidas a la infraestructura de red global, con Cisco indicando que los dispositivos de ruta/cambio son un «objetivo perfecto para un adversario que busca estar silencioso y tener acceso a una importante capacidad de inteligencia, así como un punto de apoyo en una red preferida».