Observatorio de Amenazas

Ciberdelincuentes explotan falla de día cero en Cisco IOS XE

Escrito por Javiera González | 25-10-23

Cisco ha advertido sobre una nueva falla de día cero en IOS XE que ha sido explotada activamente por un actor de amenazas desconocido. La falla, registrada como CVE-2023-20273, es una falla de escalada de privilegios en la función de interfaz de usuario web. Se dice que se utilizó junto con CVE-2023-20198 (una falla de autenticación) como parte de una cadena de explotación.

 

Acceso inicial

Un atacante primero podría explotar CVE-2023-20198 para obtener acceso inicial y luego crear una combinación de usuario y contraseña local. Esto permitiría al usuario iniciar sesión con acceso de usuario normal.

Luego, el atacante podría aprovechar CVE-2023-20273 para elevar el privilegio a root y escribir el implante malicioso en el sistema de archivos.

¿Qué pueden hacer los atacantes con control total de un dispositivo Cisco?

  • Monitorear el tráfico de la red: Los atacantes podrían usar su acceso para recopilar datos confidenciales, como contraseñas, números de tarjetas de crédito u otra información personal.
  • Inyectar y redirigir el tráfico de la red: Los atacantes podrían usar su acceso para interrumpir el servicio o dirigir el tráfico de la red a sitios web maliciosos.
  • Usar el dispositivo como una cabeza de playa persistente: Los atacantes podrían usar su acceso para lanzar ataques contra otras redes o sistemas.

Detalles de las vulnerabilidades

CVE-2023-20273 es una falla de escalada de privilegios en la función de interfaz de usuario web. El atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP específica al dispositivo. Si la solicitud es exitosa, el atacante podría elevar su privilegio a root.

CVE-2023-20198 es una falla de autenticación en la función de interfaz de usuario web. El atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP específica al dispositivo. Si la solicitud es exitosa, el atacante podría obtener acceso inicial al dispositivo.

Cisco ha lanzado un parche para ambas vulnerabilidades, que está disponible para los clientes a partir del 22 de octubre de 2023. Mientras tanto, se recomienda desactivar la función del servidor HTTP.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una alerta de seguridad sobre esta vulnerabilidad, advirtiendo que un actor remoto no autenticado podría explotarla para tomar el control de un sistema afectado.

Impacto Potencial

Esta vulnerabilidad es crítica y podría tener un impacto significativo en las organizaciones que utilizan dispositivos Cisco. Los atacantes que exploten esta vulnerabilidad podrían tener acceso completo a los dispositivos, lo que les permitiría realizar una amplia gama de actividades maliciosas.

Se estima que más de 41.000 dispositivos Cisco que ejecutan el software vulnerable IOS XE han sido comprometidos por actores de amenazas que utilizan las dos fallas de seguridad.

Recomendaciones:

  • Instale el parche lo antes posible. El parche para ambas vulnerabilidades está disponible para los clientes a partir del 22 de octubre de 2023.
  • Desactive la función del servidor HTTP mientras espera el parche. Esto reducirá el riesgo de que los atacantes exploten la vulnerabilidad.
  • Realice un análisis de seguridad para detectar cualquier dispositivo comprometido. Cisco ha publicado un conjunto de herramientas para ayudar a los clientes a identificar dispositivos comprometidos.
  • Las organizaciones que utilizan dispositivos Cisco deben implementar controles de seguridad adicionales para protegerse de ataques. Estos controles pueden incluir firewalls, sistemas de detección de intrusiones y herramientas de análisis de seguridad.
  • Las organizaciones deben realizar auditorías de seguridad periódicas para identificar y remediar vulnerabilidades.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos asociados a vulnerabilidades. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos como lo es la ingeniería social y/o el phishing, a través de la implementación de programas online de concientización y capacitación. Con el fin que tener colaboradores conscientes de su rol en la seguridad que operen bajo una conducta que aporte a la ciberdefensa.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

    • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
    • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
    • Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

Fuentes

https://www.linkedin.com/pulse/cisco-zero-day-explotado-para-implantar-una-puerta-trasera-lua/?trk=article-ssr-frontend-pulse_more-articles_related-content-card&originalSubdomain=es

https://www.ciberseguridadlatam.com/2023/10/23/ciberdelincuentes-aprovechan-cisco-zero-day-con-una-puerta-trasera-maliciosa/

https://blog.ehcgroup.io/2023/10/23/

 
Ver post completo