Cisco advirtió sobre una nueva falla de día cero en IOS XE que ha sido explotada activamente por un actor de amenazas desconocido para implementar un implante malicioso basado en Lua en dispositivos susceptibles.
Registrado como CVE-2023-20273 (puntuación CVSS: 7,2), el problema se relaciona con una falla de escalada de privilegios en la función de interfaz de usuario web y se dice que se utilizó junto con CVE-2023-20198 (puntuación CVSS: 10,0) como parte de un cadena de explotación.
«El atacante primero aprovechó CVE-2023-20198 para obtener acceso inicial y emitió un comando de privilegio 15 para crear una combinación de usuario y contraseña local», dijo Cisco en un aviso actualizado publicado el viernes. «Esto permitió al usuario iniciar sesión con acceso de usuario normal».
«Luego, el atacante aprovechó otro componente de la función de interfaz de usuario web, aprovechando el nuevo usuario local para elevar el privilegio a root y escribir el implante en el sistema de archivos», una deficiencia a la que se le ha asignado el identificador CVE-2023-20273.
Un portavoz de Cisco dijo a The Hacker News que se identificó una solución que cubre ambas vulnerabilidades y estará disponible para los clientes a partir del 22 de octubre de 2023. Mientras tanto, se recomienda desactivar la función del servidor HTTP.
Si bien Cisco había mencionado anteriormente que se había aprovechado una falla de seguridad ahora parcheada en el mismo software ( CVE-2021-1435 ) para instalar la puerta trasera, la compañía evaluó que la vulnerabilidad ya no estaba asociada con la actividad a la luz del descubrimiento de el nuevo día cero.
«Un actor remoto no autenticado podría explotar estas vulnerabilidades para tomar el control de un sistema afectado», dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) . «Específicamente, estas vulnerabilidades permiten al actor crear una cuenta privilegiada que proporciona un control total sobre el dispositivo».
La explotación exitosa de los errores podría permitir a los atacantes obtener acceso remoto sin restricciones a enrutadores y conmutadores, monitorear el tráfico de la red, inyectar y redirigir el tráfico de la red y usarlo como una cabeza de playa persistente para la red debido a la falta de soluciones de protección para estos dispositivos.
El desarrollo se produce cuando se estima que más de 41.000 dispositivos Cisco que ejecutan el software vulnerable IOS XE han sido comprometidos por actores de amenazas que utilizan las dos fallas de seguridad, según datos de Censys y LeakIX .
«El 19 de octubre, el número de dispositivos Cisco comprometidos se redujo a 36.541», dijo la firma de gestión de superficies de ataque. «Los principales objetivos de esta vulnerabilidad no son las grandes corporaciones sino entidades e individuos más pequeños».
Actualizar:
Cisco ha lanzado oficialmente actualizaciones de software para abordar las dos fallas de seguridad explotadas activamente para la versión 17.9 del software Cisco IOS XE, con correcciones para las versiones 17.6, 17.3 y 16.12 en proceso.
Fuente y redacción: thehackernews.com