Por: Mario Lobo
Alerta crítica: Los dispositivos que ejecutan la interfaz de usuario web de Cisco IOS XE podrían estar en riesgo debido a una vulnerabilidad grave. Los usuarios no autorizados podrían obtener el control total del sistema. Si está ejecutando Cisco IOS XE con el servidor HTTP o HTTPS habilitado, la acción inmediata es crucial. Lea nuestro asesoramiento detallado sobre la evaluación de riesgos y los pasos de mitigación, incluido cómo Lumu puede ayudar con la detección de amenazas en tiempo real.
El 16 de octubre, el grupo Cisco Talos Intelligence alertó sobre una vulnerabilidad previamente desconocida que afecta la funcionalidad de la interfaz de usuario web (UI web) dentro del software Cisco IOS XE ( CVE-2023-20198 ). Esta vulnerabilidad plantea un riesgo cuando el software está expuesto a Internet o a redes que no son de confianza. Los dispositivos, ya sean físicos o virtuales, que ejecutan el software Cisco IOS XE y tienen habilitada la función de servidor HTTP o HTTPS son susceptibles a este problema.
Esta vulnerabilidad otorga a los actores maliciosos la capacidad de tomar el control total del dispositivo comprometido, permitiéndoles establecer una cuenta de acceso de nivel 15 dotada de privilegios administrativos.
Shodan indexó aproximadamente 144.000 dispositivos en todo el mundo , lo que reveló un portal web IOS XE expuesto y un mayor riesgo de posible compromiso.
Fondo
El 28 de septiembre de 2023, se detectó actividad sospechosa en el dispositivo de un cliente, que luego se informó al Centro de asistencia técnica (TAC) de Cisco. Según el Blog de Talos , las investigaciones revelaron que esta actividad se remonta al 18 de septiembre y que implicó la creación de una cuenta de usuario local dudosa llamada “cisco_tac_admin” desde la dirección IP 5.149.249[.]74. Esto cesó el 1 de octubre y no mostró más acciones preocupantes.
El 12 de octubre, Talos IR y TAC identificaron un nuevo grupo de actividades relacionadas a partir de ese día. Un usuario no autorizado creó otra cuenta de usuario local sospechosa como “cisco_support” desde la dirección IP 154.53.56[.]231.
A diferencia del incidente de septiembre, esta actividad de octubre implicó acciones adicionales, incluida la implementación del implante a través de un archivo de configuración (“cisco_service.conf”). El archivo de configuración definió un nuevo punto final del servidor web que facilita la interacción con el implante, permitiendo la ejecución de comandos arbitrarios a nivel del sistema o IOS. La activación requirió reiniciar el servidor, lo que no ocurrió en al menos un caso observado, lo que impidió que el implante se activara a pesar de la instalación.
El implante se almacena en la ruta del archivo “/usr/binos/conf/nginx-conf/cisco_service.conf”, que consta de dos cadenas variables representadas en caracteres hexadecimales. En particular, el implante carece de persistencia; un reinicio del dispositivo lo eliminará. Sin embargo, las cuentas de usuario locales generadas durante la infracción permanecen activas incluso después de reiniciar el sistema.
Lo que sabemos
Actualmente, no hay ningún parche disponible para la vulnerabilidad. Sin embargo, Cisco ha compartido información completa sobre indicadores de compromiso y estrategias de mitigación recomendadas para esta vulnerabilidad en su blog.
A partir de los detalles técnicos, la ejecución de este comando permite determinar la presencia del implante y el inminente compromiso de la infraestructura:
curl -k -X POST “https://systemip/webui/logoutconfirm.html?logon_hash=1”
Si la solicitud devuelve una cadena hexadecimal, el implante está presente.
Recomendaciones
- Aplique el flujo de decisión Triage proporcionado por Cisco para saber si su infraestructura está expuesta a esta vulnerabilidad:
- ¿Estás ejecutando IOS XE?
- No. _ El sistema no es vulnerable. No es necesaria ninguna otra acción.
- Sí . ¿Está configurado el servidor IP http o el servidor seguro IP http ?
- No. _ La vulnerabilidad no es explotable. No es necesaria ninguna otra acción.
- Sí . ¿Ejecuta servicios que requieren comunicación HTTP/HTTPS (por ejemplo, eWLC)?
- No. _ Deshabilite la función del servidor HTTP.
- Sí . Si es posible, restrinja el acceso a esos servicios a redes confiables.
- Si es necesario, ejecute inmediatamente los pasos de la guía técnica para mitigar el riesgo de compromiso según el Blog de Cisco.
- Consulte la guía de indicadores de compromiso proporcionada por Cisco para buscar posibles compromisos en su sistema.
- Manténgase alerta a nuevas actualizaciones sobre soluciones alternativas y actualizaciones proporcionadas por Cisco para abordar el problema.
- Si está utilizando Lumu, le brindamos la capacidad de monitorear su red y alertar sobre cualquier contacto malicioso o posible compromiso que pueda surgir.
Texto traducido al español desde el website oficial de Lumu: https://lumu.io/blog/advisory-alert-critical-cisco-ios-xe-web-ui-vulnerability