Descubrimiento la semana pasadala falla de día cero (con referencia CVE-2023-20198) explotada en la interfaz de usuario web de IOS cisco Hasta la fecha, afecta a más de 40.000 sistemas, más de una cuarta parte de los cuales se encuentran en Estados Unidos. Un seguimiento cercano de la vulnerabilidad de escalada de privilegios realizado por la firma de investigación de ciberseguridad Censys encontró que la cantidad de dispositivos comprometidos disminuyó ligeramente el 19 de octubre, luego de aumentos significativos en los dos días anteriores. "En las últimas 24 horas, desde nuestra última actualización sobre los compromisos en curso, las noticias han sido prometedoras y preocupantes", dijo Censys en una publicación de blog. "Aunque la ola inicial de ataques parece haber disminuido, ahora vemos que la cantidad de enrutadores comprometidos es sustancial", agregó la compañía. El 16 de octubre Cisco publicó un aviso sobre una vulnerabilidad crítica (puntaje CVSS de 10) en la función de interfaz web en dispositivos que ejecutan el software IOS XE. El error permite la escalada de privilegios sin autenticación y ha sido explotado activamente en la naturaleza. Pero eso no es todo, porque el atacante puede explotar otro componente de la función de interfaz de usuario web, confiando en que el nuevo usuario local eleve sus privilegios a root y escriba el implante en el sistema de archivos. Una vulnerabilidad adicional identificada como CVE-2023-20273 con una puntuación CVSS de 7,2.

La investigación de Censys reveló un total de 36,541 dispositivos infectados activamente al 19 de octubre. Aproximadamente 5,400 dispositivos fueron desmantelados (desconectándolos o deshabilitando funciones de interfaz de usuario) en 24 horas. La vulnerabilidad afectó a dispositivos Cisco en varios países, incluidos Estados Unidos, Filipinas, México, Chile e India. El 18 de octubre se informó de un total de 6.509 hosts afectados en los Estados Unidos, un aumento de casi el 40% en 24 horas, con 4.659 puntos finales reportados el día anterior. Filipinas le siguió de cerca con 3.966 y 3.224 sistemas afectados, respectivamente. Globe Telecoms Inc, Uninet y CTC Corp SA Telefónica Empresas fueron las principales empresas estadounidenses y filipinas con más de 1.000 equipos afectados.

Índice
  1. Una primera solución disponible
  2. Defectos que se suceden

Una primera solución disponible

En una actualización de su boletín de seguridad sobre la falla CVE-2023-20198, la compañía indicó que había entregado actualizaciones correctivas. "Los clientes con contratos de servicio que les dan derecho a actualizaciones periódicas de software deben obtener parches de seguridad a través de sus canales de actualización habituales", explicó la empresa. “Los clientes que compran directamente a Cisco pero no tienen un contrato de servicio de Cisco y los clientes que compran a través de proveedores externos pero no pueden obtener software fijo a través de su punto de venta deben obtener actualizaciones comunicándose con el Soporte técnico de productos (TAC) de Cisco.

Para los usuarios de productos Cisco que ejecutan IOS XE v17.9, la actualización disponible es 17.9.4a; Respecto a las versiones 17.6, 17.3 y 16.12 (solo Catalyst 3650 y 3850), actualmente se están planificando las respectivas actualizaciones 17.6a, 17.3.8a y 16.12.10a. Todos los detalles están disponibles aquí.

Defectos que se suceden

Durante los últimos dos meses, los errores han ido apareciendo en Cisco, con seis exploits de alto a crítico descubiertos en sus sistemas. La falla con referencia CVE-2023-20198, que permite a usuarios no autenticados crear una cuenta en el sistema afectado con privilegios de "nivel 15", fue descubierta por el centro de asistencia técnica de la compañía, mientras intentaba resolver una regla de detección existente para una vulnerabilidad más antigua con CVE-2021-1435. Según el aviso de Cisco, no existe ninguna solución para esta vulnerabilidad y su única recomendación es desactivar la función del servidor HTTP en todos los sistemas en contacto con Internet.

Con respecto a los indicadores de compromiso (IOC), Cisco recomendó a los usuarios buscar nombres de usuario nuevos o desconocidos en los mensajes de configuración generados cada vez que se accede a la función de interfaz de usuario web. El 19 de octubre, el OEM confirmó otra vulnerabilidad de reinicio rápido HTTP/2 de alta gravedad (puntuación CVSS de 7,5), con referencia CVE-2023-44487, informada colectivamente la semana pasada por Google, Amazon AWS y Cloudflare como causante de exploits de día cero. Esta vulnerabilidad permite aprovechar la debilidad del protocolo HTTP/2 para generar ataques masivos de denegación de servicio distribuido (DDoS).