Cisco advirtió sobre una nueva falla de día cero en IOS XE que ha sido explotada activamente por un actor de amenazas desconocido para implementar un implante malicioso basado en Lua en dispositivos susceptibles.
Seguimiento como CVE-2023-20273 (Puntuación CVSS: 7,2), el problema se relaciona con una falla de escalada de privilegios en la función de interfaz de usuario web y se dice que se usó junto con CVE-2023-20198 como parte de una cadena de exploits.
«El atacante primero aprovechó CVE-2023-20198 para obtener acceso inicial y emitió un comando de privilegio 15 para crear una combinación de usuario y contraseña local», Cisco dicho en un aviso actualizado publicado el viernes. «Esto permitió al usuario iniciar sesión con acceso de usuario normal».
«Luego, el atacante aprovechó otro componente de la función de interfaz de usuario web, aprovechando el nuevo usuario local para elevar el privilegio a root y escribir el implante en el sistema de archivos», una deficiencia a la que se le ha asignado el identificador CVE-2023-20273.
Un portavoz de Cisco dijo a The Hacker News que se identificó una solución que cubre ambas vulnerabilidades y estará disponible para los clientes a partir del 22 de octubre de 2023. Mientras tanto, se recomienda desactivar la función del servidor HTTP.
Si bien Cisco mencionó anteriormente que se había aprovechado una falla de seguridad ahora parcheada en el mismo software para instalar la puerta trasera, la compañía evaluó que la vulnerabilidad era ya no asociado con la actividad ante el descubrimiento del nuevo día cero.
«Un actor remoto no autenticado podría explotar estas vulnerabilidades para tomar el control de un sistema afectado», dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dicho. «Específicamente, estas vulnerabilidades permiten al actor crear una cuenta privilegiada que proporciona un control total sobre el dispositivo».
La explotación exitosa de los errores podría permitir a los atacantes obtenga acceso remoto sin restricciones a enrutadores y conmutadores, monitorear el tráfico de la red, inyectar y redirigir el tráfico de la red y usarlo como una cabeza de playa persistente para la red debido a la falta de soluciones de protección para estos dispositivos.
El desarrollo se produce cuando se estima que más de 41.000 dispositivos Cisco que ejecutan el software vulnerable IOS XE han sido comprometidos por actores de amenazas utilizando las dos fallas de seguridad, según datos de censys y FugaIX.
«El 19 de octubre, el número de dispositivos Cisco comprometidos se redujo a 36.541», dijo la firma de gestión de superficies de ataque. «Los principales objetivos de esta vulnerabilidad no son las grandes corporaciones sino entidades e individuos más pequeños».