Agrandar / Los cables llegan a un conmutador de datos de Cisco.
imágenes falsas
Cisco insta a los clientes a proteger sus dispositivos luego del descubrimiento de una vulnerabilidad de día cero crítica y activamente explotada que brinda a los actores de amenazas un control administrativo total de las redes.
«La explotación exitosa de esta vulnerabilidad permite a un atacante crear una cuenta en el dispositivo afectado con acceso de nivel de privilegio 15, otorgándole efectivamente control total del dispositivo comprometido y permitiendo una posible actividad no autorizada posterior», escribieron el lunes miembros del equipo de seguridad de Talos de Cisco. «Esta es una vulnerabilidad crítica y recomendamos encarecidamente que las entidades afectadas implementen inmediatamente los pasos descritos en el aviso PSIRT de Cisco».
En explotación durante 4 semanas.
La vulnerabilidad previamente desconocida, identificada como CVE-2023-20198, tiene una clasificación de gravedad máxima de 10. Reside en la interfaz de usuario web del software Cisco IOS XE cuando se expone a Internet o a redes que no son de confianza. Cualquier conmutador, enrutador o controlador de LAN inalámbrica que ejecute IOS XE y que tenga la función de servidor HTTP o HTTPS habilitada y expuesta a Internet es vulnerable. En el momento en que se publicó esta publicación, el motor de búsqueda Shodan mostró que hasta 80.000 dispositivos conectados a Internet podrían verse afectados.
Cisco dijo que un actor de amenazas desconocido ha estado explotando el día cero desde al menos el 18 de septiembre. Después de utilizar la vulnerabilidad para convertirse en un usuario autorizado, el atacante crea una cuenta de usuario local. En la mayoría de los casos, el actor de amenazas implementó un implante que le permite ejecutar comandos maliciosos a nivel del sistema o de iOS, una vez que se reinicia el servidor web. El implante no puede sobrevivir a un reinicio, pero las cuentas de usuario locales permanecerán activas.
El aviso del lunes continuó diciendo que después de obtener acceso a un dispositivo vulnerable, el actor de amenazas explota una vulnerabilidad media, CVE-2021-1435, que Cisco parchó hace dos años. Los miembros del equipo de Talos dijeron que habían visto dispositivos completamente parcheados contra la vulnerabilidad anterior al instalar el implante «a través de un mecanismo aún indeterminado».
El implante se guarda en la ruta del archivo “/usr/binos/conf/nginx-conf/cisco_service.conf”. Contiene dos cadenas de variables compuestas de caracteres hexadecimales. El aviso continuó:
El implante está basado en el lenguaje de programación Lua y consta de 29 líneas de código que facilita la ejecución de comandos arbitrarios. El atacante debe crear una solicitud HTTP POST al dispositivo, que ofrece las siguientes tres funciones (Figura 1):
La primera función está dictada por el parámetro «menú», que debe existir y no debe estar vacío. Esto devuelve una cadena de números rodeados de barras diagonales, que sospechamos que podrían representar la versión del implante o la fecha de instalación.
La segunda función está dictada por el parámetro «logon_hash», que debe establecerse en «1». Esto devuelve una cadena hexadecimal de 18 caracteres codificada en el implante.
La tercera función también está dictada por el parámetro «logon_hash», que verifica si el parámetro coincide con una cadena hexadecimal de 40 caracteres codificada en el implante. Un segundo parámetro utilizado aquí es «common_type», que no debe estar vacío y cuyo valor determina si el código se ejecuta a nivel del sistema o a nivel de IOS. Si el código se ejecuta a nivel de sistema, este parámetro debe establecerse en «subsistema», y si se ejecuta a nivel de IOS, el parámetro debe ser «iox». Los comandos IOX se ejecutan en el nivel de privilegio 15.
cisco
En la mayoría de los casos, hemos observado que al instalar este implante, tanto la cadena hexadecimal de 18 caracteres en la segunda función como la cadena hexadecimal de 40 caracteres en la tercera función son únicas, aunque en algunos casos, estas cadenas eran las mismas en diferentes dispositivos. . Esto sugiere que hay una manera para que el actor calcule el valor utilizado en la tercera función a partir del valor devuelto por la segunda función, actuando como una forma de autenticación requerida para la ejecución del comando arbitrario proporcionado en la tercera función.
Los miembros del equipo de Talos instan encarecidamente a los administradores de cualquier equipo afectado a buscar inmediatamente en sus redes signos de compromiso. El medio más eficaz es buscar usuarios inexplicables o de nueva creación en los dispositivos. Una forma de identificar si se ha instalado un implante es ejecutar el siguiente comando en el dispositivo, donde la parte «DEVICEIP» es un marcador de posición para la dirección IP del dispositivo a verificar:
curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"
Las cuentas de administrador pueden tener los nombres cisco_tac_admin o cisco_support. Las direcciones IP que Cisco ha visto hasta ahora explotando el día cero son 5.149.249[.]74 y 154.53.56[.]231. Orientación adicional de Cisco:
Verifique los registros del sistema para detectar la presencia de cualquiera de los siguientes mensajes de registro donde «usuario» podría ser «cisco_tac_admin», «cisco_support» o cualquier usuario local configurado que sea desconocido para el administrador de la red:
%SYS-5-CONFIG_P: Configured programmatically by process SEP_webui_wsma_http from console as user on line
%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
Nota: El mensaje %SYS-5-CONFIG_P estará presente para cada instancia en la que un usuario haya accedido a la interfaz de usuario web. El indicador a buscar son nombres de usuario nuevos o desconocidos presentes en el mensaje.
Verifique los registros del sistema para ver el siguiente mensaje donde Nombre del archivo es un nombre de archivo desconocido que no se correlaciona con una acción de instalación de archivo esperada:
%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename It should go without saying but the HTTP and HTTPS server feature should never be enabled on internet-facing systems as is consistent with long-established best practices. Cisco reiterated the guidance in Monday’s advisory.
No hace falta decirlo, pero la función de servidor HTTP y HTTPS nunca debe habilitarse en sistemas conectados a Internet, como es consistente con las mejores prácticas establecidas desde hace mucho tiempo. Cisco reiteró la orientación del aviso del lunes.
Esta vulnerabilidad es relativamente fácil de explotar y brinda a los piratas informáticos la capacidad de realizar todo tipo de acciones maliciosas contra las redes infectadas. Cualquiera que administre equipos de Cisco debe leer atentamente el aviso y el aviso PSIRT mencionado anteriormente y seguir todas las recomendaciones lo antes posible.
