A Cisco alerta sobre um novo zero-day do IOS XE ativamente explorado em ataques
17 de Outubro de 2023

A Cisco alertou hoje os administradores de um novo zero-day de máxima gravidade que permite a falha de autenticação no software IOS XE, que permite que atacantes não autenticados obtenham privilégios de administrador completos e tomem controlo total de roteadores e switches afetados remotamente.

A empresa diz que a vulnerabilidade crítica (rastreada como CVE-2023-20198 e ainda aguardando reparo) afeta apenas dispositivos que estão executando a função de Interface do Usuário Web (Web UI), que também tem ativada a funcionalidade de servidor HTTP ou HTTPS.

"A Cisco identificou a exploração ativa de uma vulnerabilidade anteriormente desconhecida na funcionalidade da Interface do Usuário Web (Web UI) do software Cisco IOS XE ( CVE-2023-20198 ) quando exposto à internet ou redes não confiáveis", revelou a empresa hoje.

"A exploração bem-sucedida desta vulnerabilidade permite a um atacante criar uma conta no dispositivo afetado com acesso ao nível de privilégio 15, efetivamente concedendo a eles controle total do dispositivo comprometido e permitindo possível atividade não autorizada subsequente."

Os ataques foram descobertos no dia 28 de setembro pelo Technical Assistance Center (TAC) da Cisco após relatos de comportamento incomum em um dispositivo do cliente.

A Cisco identificou a atividade relacionada remontando a 18 de setembro após uma investigação mais aprofundada dos ataques.

A atividade maliciosa envolveu um usuário autorizado criando uma conta de usuário local com o nome de usuário "cisco_tac_admin" a partir de um endereço IP suspeito (5.149.249[.]74).

A empresa descobriu atividade adicional ligada à exploração do CVE-2023-20198 em 12 de outubro, quando uma conta de usuário local "cisco_support" foi criada a partir de um segundo endereço IP suspeito (154.53.56[.]231).

Os atacantes também implantaram um implante malicioso para executar comandos arbitrários no sistema ou nos níveis do IOS.

"Nós avaliamos que esses grupos de atividade provavelmente foram realizados pelo mesmo ator.

Ambos os grupos apareceram juntos, com a atividade de outubro parecendo se basear na atividade de setembro", disse a Cisco.

"O primeiro grupo foi possivelmente a tentativa inicial do ator e o teste de seu código, enquanto a atividade de outubro parece mostrar o ator expandindo sua operação para incluir o estabelecimento de acesso persistente através da implantação do implante."

A empresa aconselhou os administradores a desativar a função de servidor HTTP em sistemas voltados para a internet, o que removeria o vetor de ataque e bloquearia os ataques de entrada.

"A Cisco recomenda fortemente que os clientes desativem a funcionalidade de servidor HTTP em todos os sistemas voltados para a internet.

Para desativar a funcionalidade de servidor HTTP, use o comando de configuração global sem ip http server ou sem ip http secure-server", disse a empresa.

"Após desativar a funcionalidade de servidor HTTP, use o comando de cópia de configuração de inicialização de configuração em execução para salvar a configuração em execução.

Isso garantirá que a funcionalidade de servidor HTTP não seja ativada inesperadamente em caso de recarga do sistema."

Se ambos os servidores, HTTP e HTTPS, estão em uso, ambos os comandos são necessários para desativar a funcionalidade de servidor HTTP.

As organizações também são fortemente recomendadas a procurar contas de usuário inexplicáveis ou recentemente criadas como possíveis indicadores de atividade maliciosa associada a essa ameaça.

Uma abordagem para detectar a presença do implante malicioso em dispositivos Cisco IOS XE comprometidos envolve executar o seguinte comando no dispositivo, onde o marcador "DEVICEIP" representa o endereço IP em investigação:

"Estamos trabalhando incansavelmente para fornecer uma correção de software e insistimos veemente para que os clientes tomem medidas imediatas conforme esboçado no aviso de segurança.

A Cisco fornecerá uma atualização sobre o status de nossa investigação por meio do aviso de segurança", disse a diretora de comunicações de segurança da Cisco, Meredith Corley.

No mês passado, a Cisco alertou os clientes para corrigir outra vulnerabilidade zero-day ( CVE-2023-20109 ) em seu software IOS e IOS XE visado por atacantes na natureza.

Atualização: Declaração adicionada da Cisco.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...