Ciberseguridad 360 | Zero Day en el software Cisco IOS XE se encuentra bajo ataque

Hackers no identificados est�n explotando una vulnerabilidad previamente desconocida que les permite tomar el control total de los dispositivos Cisco expuestos a Internet que ejecutan el software IOS XE de la empresa.

Cisco revel� el error de d�a cero, que afecta la funci�n de interfaz de usuario web (UI web) del software, en un aviso de seguridad del 16 de octubre y proporcion� antecedentes y orientaci�n adicionales en una publicaci�n del blog de Cisco Talos .

La vulnerabilidad cr�tica, registrada como CVE-2023-20198, tiene la clasificaci�n de gravedad CVSS v3 m�s alta posible de 10. Afecta tanto a dispositivos f�sicos como virtuales que ejecutan IOS XE cuando est�n expuestos a Internet y tienen habilitada la funci�n de servidor HTTP o HTTPS.

"La explotaci�n exitosa de esta vulnerabilidad permite a un atacante crear una cuenta en el dispositivo afectado con acceso de nivel de privilegio 15 [el nivel m�s alto posible], otorg�ndole efectivamente control total del dispositivo comprometido y permitiendo una posible actividad no autorizada posterior", la publicaci�n de Cisco Talos dicho.

La compa��a dijo que "recomienda encarecidamente" a los clientes que desactiven la funci�n del servidor HTTP en todos los sistemas conectados a Internet y comprueben si hay actividad maliciosa en forma de usuarios inexplicables o reci�n creados en sus dispositivos. A�n no hay disponible un parche para el error.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emiti� su propia alerta sobre la vulnerabilidad y la agreg� al Cat�logo de Vulnerabilidades Explotadas Conocidas (KEV), dando a las agencias gubernamentales del Poder Ejecutivo Civil Federal de EE. UU. hasta el 20 de octubre para aplicar mitigaciones.

Actividad de exploit vista por primera vez hace un mes

Cisco Talos dijo que la actividad potencialmente maliciosa relacionada con la vulnerabilidad surgi� por primera vez el 28 de septiembre cuando se abri� un caso con el Centro de Asistencia T�cnica (TAC) de Cisco que identific� un comportamiento inusual en el dispositivo de un cliente.

"Tras una investigaci�n m�s exhaustiva, observamos lo que determinamos que es actividad relacionada ya el 18 de septiembre", dijo Cisco Talos en su publicaci�n.

"La actividad incluy� que un usuario autorizado creara una cuenta de usuario local con el nombre de usuario 'cisco_tac_admin' desde una direcci�n IP sospechosa".

El 12 de octubre, TAC y el equipo de respuesta a incidentes de Cisco Talos observaron un segundo "grupo" de actividad relacionada, incluida la creaci�n de una cuenta de usuario local llamada "cisco_support" por parte de un usuario no autorizado desde una segunda direcci�n IP sospechosa. La actividad posterior incluy� la implementaci�n de un implante que consta de un archivo de configuraci�n (?cisco_service.conf?).

El archivo de configuraci�n defini� un nuevo punto final del servidor web (ruta URI) utilizado para interactuar con el implante, permitiendo al actor de amenazas ejecutar comandos arbitrarios a nivel del sistema o IOS, dijo Cisco Talos.

?Evaluamos que estos grupos de actividades probablemente fueron realizados por el mismo actor. Ambos grupos aparecieron muy juntos, y la actividad de octubre pareci� desarrollarse a partir de la actividad de septiembre?, escribieron los investigadores de Cisco Talos.

"El primer grupo fue posiblemente el intento inicial del actor de probar su c�digo, mientras que la actividad de octubre parece mostrar al actor ampliando su operaci�n para incluir el establecimiento de un acceso persistente mediante el despliegue del implante".

Actores de amenazas y errores de infraestructura de red

El vicepresidente de Viakoo Labs, John Gallagher, dijo que la vulnerabilidad parec�a estar vinculada a otra vulnerabilidad de Cisco IOS e IOS XE , CVE-2023-20109 , que CISA agreg� al cat�logo KEV el 10 de octubre .

"Probablemente tambi�n haya otras vulnerabilidades en juego aqu�, ya que la creaci�n de cuentas maliciosas suele ser parte de una estrategia m�s amplia", dijo Gallagher.

En abril, Cisco dijo que estaba ?profundamente preocupado? por un aumento en los ataques a la infraestructura de red atribuidos a grupos de espionaje patrocinados por el estado.

El mes pasado, las agencias de seguridad y aplicaci�n de la ley de Estados Unidos y Jap�n dijeron que el actor de amenazas BlackTech, vinculado a China, se infiltr� en las redes corporativas de empresas multinacionales a trav�s de una serie de ataques elaborados que inclu�an la modificaci�n del firmware del enrutador Cisco.

"Los dispositivos de red siempre han sido un objetivo muy buscado por los actores estatales que desean participar en actividades de espionaje y esta vulnerabilidad [del nuevo IOS XE] le da a esa clase de atacante la herramienta perfecta para comenzar a manipular sutilmente el tr�fico de la red", dijo el director de Netenrich. El cazador de amenazas John Bambenek.

Fuente: scmagazine.com