{"id":1001734,"date":"2023-10-17T09:24:12","date_gmt":"2023-10-17T09:24:12","guid":{"rendered":"https:\/\/teknomers.com\/es\/advertencia-vulnerabilidad-de-dia-cero-de-cisco-sin-parches-atacada-activamente-en-la-naturaleza\/"},"modified":"2023-10-17T09:24:16","modified_gmt":"2023-10-17T09:24:16","slug":"advertencia-vulnerabilidad-de-dia-cero-de-cisco-sin-parches-atacada-activamente-en-la-naturaleza","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/advertencia-vulnerabilidad-de-dia-cero-de-cisco-sin-parches-atacada-activamente-en-la-naturaleza\/","title":{"rendered":"Advertencia: Vulnerabilidad de d\u00eda cero de Cisco sin parches atacada activamente en la naturaleza"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>17 de octubre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Vulnerabilidad\/Seguridad de Red<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Cisco advirti\u00f3 sobre una falla de seguridad cr\u00edtica y sin parches que afecta al software IOS XE y que est\u00e1 bajo explotaci\u00f3n activa en la naturaleza.<\/p>\n

Arraigada en la funci\u00f3n de interfaz de usuario web, la vulnerabilidad de d\u00eda cero se asigna como CVE-2023-20198<\/a> y se le ha asignado la calificaci\u00f3n de gravedad m\u00e1xima de 10,0 en el sistema de puntuaci\u00f3n CVSS.<\/p>\n

Vale la pena se\u00f1alar que la deficiencia solo afecta a los equipos de redes empresariales que tienen habilitada la funci\u00f3n de interfaz de usuario web y cuando est\u00e1n expuestos a Internet o a redes que no son de confianza.<\/p>\n

“Esta vulnerabilidad permite a un atacante remoto y no autenticado crear una cuenta en un sistema afectado con privilegios acceso nivel 15<\/a>“Cisco dicho<\/a> en un aviso del lunes. “El atacante puede entonces utilizar esa cuenta para hacerse con el control del sistema afectado”.<\/p>\n

El problema afecta tanto a los dispositivos f\u00edsicos como a los virtuales que ejecutan el software Cisco IOS XE y que tambi\u00e9n tienen habilitada la funci\u00f3n de servidor HTTP o HTTPS. Como mitigaci\u00f3n, se recomienda desactivar la funci\u00f3n del servidor HTTP en los sistemas conectados a Internet.<\/p>\n

\"La<\/a><\/center><\/div>\n

La importante empresa de equipos de redes dijo que descubri\u00f3 el problema despu\u00e9s de detectar actividad maliciosa en un dispositivo de cliente no identificado ya el 18 de septiembre de 2023, en el que un usuario autorizado cre\u00f3 una cuenta de usuario local con el nombre de usuario “cisco_tac_admin” desde una direcci\u00f3n IP sospechosa. La actividad inusual termin\u00f3 el 1 de octubre de 2023.<\/p>\n

En un segundo grupo de actividad relacionada que se detect\u00f3 el 12 de octubre de 2023, un usuario no autorizado cre\u00f3 una cuenta de usuario local con el nombre “cisco_support” desde una direcci\u00f3n IP diferente.<\/p>\n

Se dice que esto fue seguido por una serie de acciones que culminaron con el despliegue de un implante basado en Lua que permite al actor ejecutar comandos arbitrarios a nivel del sistema o a nivel de IOS. <\/p>\n

La instalaci\u00f3n del implante se logra aprovechando CVE-2021-1435<\/a>una falla ahora parcheada que afecta la interfaz de usuario web del software Cisco IOS XE, as\u00ed como un mecanismo a\u00fan indeterminado en los casos en que el sistema est\u00e1 completamente parcheado contra CVE-2021-1435.<\/p>\n

“Para que el implante se active, se debe reiniciar el servidor web; en al menos un caso observado, el servidor no se reinici\u00f3, por lo que el implante nunca se activ\u00f3 a pesar de estar instalado”, Cisco dicho<\/a>.<\/p>\n

La puerta trasera, guardada en la ruta del archivo “\/usr\/binos\/conf\/nginx-conf\/cisco_service.conf”, no es persistente, lo que significa que no sobrevivir\u00e1 al reinicio del dispositivo. Dicho esto, las cuentas privilegiadas fraudulentas que se crean siguen activas.<\/p>\n

Cisco ha atribuido los dos conjuntos de actividades presumiblemente al mismo actor de amenazas, aunque los or\u00edgenes exactos del adversario est\u00e1n actualmente confusos.<\/p>\n

\"La<\/a><\/center><\/div>\n

“El primer grupo fue posiblemente el intento inicial del actor de probar su c\u00f3digo, mientras que la actividad de octubre parece mostrar al actor expandiendo su operaci\u00f3n para incluir el establecimiento de un acceso persistente mediante el despliegue del implante”, se\u00f1al\u00f3 la compa\u00f1\u00eda.<\/p>\n

El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir un consultivo<\/a> y agrega el defecto<\/a> a las vulnerabilidades explotadas conocidas (KEV<\/a>) cat\u00e1logo.<\/p>\n

En abril de 2023, las agencias de inteligencia y ciberseguridad del Reino Unido y EE. UU. alertaron sobre campa\u00f1as patrocinadas por estados dirigidas a la infraestructura de red global, con Cisco indicando<\/a> que los dispositivos de ruta\/cambio son un “objetivo perfecto para un adversario que busca estar silencioso y tener acceso a una importante capacidad de inteligencia, as\u00ed como un punto de apoyo en una red preferida”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n