Cisco advierte de una nueva falla de Zero-Day en IOS XE que ha sido explotada activamente por un actor de amenazas desconocido para implementar un implante malicioso basado en Lua en dispositivos susceptibles.
Rastreado como CVE-2023-20273 (puntuación CVSS: 7.2), el problema se relaciona con una falla de escalamiento de privilegios en la función de interfaz de usuario web y se dice que se usó junto con CVE-2023-20198 (puntuación CVSS: 10.0) como parte de una cadena de exploits.
“El atacante primero explotó CVE-2023-20198 para obtener acceso inicial y emitió un comando de privilegio nivel 15 para crear una combinación local de usuario y contraseña”, dijo Cisco en un aviso actualizado publicado el viernes. “Esto permitió al usuario iniciar sesión con un acceso de usuario normal”.
“A continuación, el atacante aprovechó otro componente de la función de interfaz de usuario web, aprovechando el nuevo usuario local para elevar el privilegio a root y escribir el implante en el sistema de archivos”, una deficiencia a la que se le ha asignado el identificador CVE-2023-20273.
Si bien Cisco había mencionado anteriormente que se había explotado una falla de seguridad ahora parcheada en el mismo software (CVE-2021-1435) para instalar la puerta trasera, la compañía evaluó que la vulnerabilidad ya no estaba asociada con la actividad a la luz del descubrimiento del nuevo Zero-Day.
“Un actor remoto no autenticado podría explotar estas vulnerabilidades para tomar el control de un sistema afectado”, dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA). “Específicamente, estas vulnerabilidades permiten al actor crear una cuenta privilegiada que proporciona un control completo sobre el dispositivo”.
La explotación exitosa de las vulnerabilidades podría permitir a los atacantes obtener acceso remoto sin restricciones a routers y switches, monitorear el tráfico de la red, inyectar y redirigir el tráfico de la red, y utilizarlos como un punto de apoyo persistente en la red debido a la falta de soluciones de protección para estos dispositivos.
El desarrollo se produce cuando se estima que más de 41.000 dispositivos Cisco que ejecutan el software IOS XE vulnerable se han visto comprometidos por actores de amenazas que utilizan las dos fallas de seguridad, según datos de Censys y LeakIX.
“El 19 de octubre, el número de dispositivos Cisco comprometidos ha disminuido a 36.541”, dijo la firma de gestión de superficie de ataque. “Los objetivos principales de esta vulnerabilidad no son las grandes corporaciones, sino las entidades e individuos más pequeños”.
IMPORTANTE
Cisco ha lanzado oficialmente actualizaciones de software para abordar las dos fallas de seguridad explotadas activamente para el tren de lanzamiento de software Cisco IOS XE 17.9, con correcciones para las versiones 17.6, 17.3 y 16.12 en proceso. Se puede acceder a información adicional sobre la versión aquí.