Alerta de seguridad de Cisco IOS XE: parcheada una vulnerabilidad de día cero
Cisco ha parcheado dos vulnerabilidades, rastreadas como CVE-2023-20198 y CVE-2023-20273 que los hackers están explotando activamente para comprometer miles de dispositivos. El parche se ha puesto a disposición después de que los atacantes explotaran estos problemas como ataques de día cero para hacerse con el control total de 50.000 hosts Cisco IOS XE.
Múltiples vulnerabilidades en Cisco IOS XE
La brecha inicial implicó la explotación de CVE-2023-20198, proporcionando al atacante los medios para establecer el acceso inicial. Posteriormente, ejecutaron un "comando de privilegio 15" para crear una combinación local de usuario y contraseña, lo que les concedió acceso con privilegios de usuario estándar.
Después de esto, el atacante aprovechó otro aspecto de la funcionalidad de la interfaz de usuario web (UI) para avanzar en su intrusión, aprovechando el usuario local recién creado para elevar sus privilegios a root. Esto les permitió escribir un implante en el sistema de archivos. Cisco ha designado este problema como CVE-2023-20273.
A CVE-2023-20198 se le ha asignado una puntuación CVSS de 10,0, mientras que CVE-2023-20273 ha recibido una puntuación CVSS de 7,2.
Cisco advierte de que ambas vulnerabilidades pueden explotarse si se activa la función de interfaz de usuario web (servidor HTTP) del dispositivo. Esta activación puede realizarse mediante la ejecución de comandos como "ip http server" o "ip http secure-server."
Además, el fabricante de equipos de red informa de que el actor malicioso utilizó el fallo crítico para establecer el acceso inicial al dispositivo, ejecutando posteriormente un "comando de privilegio 15" para crear una cuenta local estándar.
Conclusión
Cisco ha emitido un duro aviso sobre una grave vulnerabilidad de seguridad sin parche que está siendo explotada activamente en el entorno de software IOS XE. Esta vulnerabilidad de día cero, arraigada en la funcionalidad de la interfaz de usuario web (UI), se identifica como CVE-2023-20198 y se le ha asignado la calificación de gravedad más alta posible de 10,0 en la escala CVSS (Common Vulnerability Scoring System).
Es esencial señalar que esta vulnerabilidad afecta exclusivamente a los equipos de redes empresariales en los que la función de interfaz de usuario web está activa y expuesta a Internet o a redes no fiables.
Las fuentes de este artículo incluyen un artículo de Bleeping Computer.