Soporte técnico
Documentación
Inicio de sesión
Contáctenos
Cisco ha parcheado dos vulnerabilidades, rastreadas como CVE-2023-20198 y CVE-2023-20273 que los hackers están explotando activamente para comprometer miles de dispositivos. El parche se ha puesto a disposición después de que los atacantes explotaran estos problemas como ataques de día cero para hacerse con el control total de 50.000 hosts Cisco IOS XE.
Múltiples vulnerabilidades en Cisco IOS XE
La brecha inicial implicó la explotación de CVE-2023-20198, proporcionando al atacante los medios para establecer el acceso inicial. Posteriormente, ejecutaron un "comando de privilegio 15" para crear una combinación local de usuario y contraseña, lo que les concedió acceso con privilegios de usuario estándar.
Después de esto, el atacante aprovechó otro aspecto de la funcionalidad de la interfaz de usuario web (UI) para avanzar en su intrusión, aprovechando el usuario local recién creado para elevar sus privilegios a root. Esto les permitió escribir un implante en el sistema de archivos. Cisco ha designado este problema como CVE-2023-20273.
A CVE-2023-20198 se le ha asignado una puntuación CVSS de 10,0, mientras que CVE-2023-20273 ha recibido una puntuación CVSS de 7,2.
Cisco advierte de que ambas vulnerabilidades pueden explotarse si se activa la función de interfaz de usuario web (servidor HTTP) del dispositivo. Esta activación puede realizarse mediante la ejecución de comandos como "ip http server" o "ip http secure-server."
Estos incidentes ponen de manifiesto vulnerabilidades críticas de autenticación en los sistemas afectados, en los que los atacantes podían eludir los controles estándar y escalar su acceso mediante la creación de usuarios locales y el abuso de privilegios.
Aunque el principal vector de ataque en este caso gira en torno a los fallos de autenticación, es importante señalar que Cisco IOS XE también se ha enfrentado históricamente a problemas relacionados con vulnerabilidades de corrupción de memoria. Estos fallos, si se aprovechan, podrían permitir la ejecución de código arbitrario o el bloqueo de dispositivos, por lo que son igual de críticos para mantener la seguridad de la infraestructura de red.
Además, el fabricante de equipos de red informa de que el actor malicioso utilizó el fallo crítico para establecer el acceso inicial al dispositivo, ejecutando posteriormente un "comando de privilegio 15" para crear una cuenta local estándar.
Aunque este ataque explotaba principalmente la interfaz de usuario web y los fallos de autenticación, existen riesgos más amplios como las amenazas a nivel de firmware, tales como vulnerabilidades logofailtambién ponen de relieve la importancia de proteger todas las capas de la infraestructura de red.
Conclusión
Cisco ha emitido un duro aviso sobre una grave vulnerabilidad de seguridad sin parche que está siendo explotada activamente en el entorno de software IOS XE. Esta vulnerabilidad de día cero, arraigada en la funcionalidad de la interfaz de usuario web (UI), se identifica como CVE-2023-20198 y se le ha asignado la calificación de gravedad más alta posible de 10,0 en la escala CVSS (Common Vulnerability Scoring System).
Es esencial señalar que esta vulnerabilidad afecta exclusivamente a los equipos de redes empresariales en los que la función de interfaz de usuario web está activa y expuesta a Internet o a redes no fiables.
Las fuentes de este artículo incluyen un artículo de Bleeping Computer.
