Cisco ha confirmado que corrigió una falla de alta gravedad que estaba afectando su entorno de alojamiento de aplicaciones IOx.
Cisco IOx es un entorno de aplicaciones que permite la implementación consistente de aplicaciones que son independientes de la infraestructura de red y las herramientas de Docker para el desarrollo. Es utilizado por una amplia gama de empresas, desde la fabricación hasta la energía y el sector público.
La falla, rastreada como CVE-2023-20076, permitió a los actores de amenazas lograr la persistencia en el sistema operativo, obteniendo así la capacidad de ejecutar comandos de forma remota.
¿Quién está afectado?
«Un atacante podría explotar esta vulnerabilidad al implementar y activar una aplicación en el entorno de alojamiento de aplicaciones Cisco IOx con un archivo de carga útil de activación manipulado», dijo Cisco. (se abre en una pestaña nueva) en su aviso de seguridad.
Los usuarios que ejecutan IOS XE sin compatibilidad nativa con Docker se ven afectados, así como aquellos que ejecutan enrutadores ISR industriales de la serie 800, módulos de cómputo CGR1000, puertas de enlace de cómputo industrial IC3000, enrutadores industriales WPAN IR510 y puntos finales de punto de acceso Cisco Catalyst (COS-AP) (se abre en una pestaña nueva).
Los switches Catalyst 9000 Series, el software IOS XR y NX-OS y los productos Meraki no se ven afectados por la falla, agregó la compañía.
La advertencia con esta vulnerabilidad es que los actores de amenazas ya deben estar autenticados como administradores en los sistemas vulnerables.
Aún así, los investigadores de Trellix, quienes descubrieron por primera vez la falla, dijeron que los delincuentes podrían emparejar fácilmente esta vulnerabilidad con otras, en sus campañas maliciosas. La autenticación se puede obtener con credenciales de inicio de sesión predeterminadas (muchos usuarios nunca las cambian), así como a través de phishing e ingeniería social.
Después de la autenticación, se puede abusar de CVE-2023-20076 para «acceso sin restricciones, lo que permite que el código malicioso se esconda en el sistema y persista durante los reinicios y las actualizaciones de firmware».
«Eludir esta medida de seguridad significa que si un atacante explota esta vulnerabilidad, el paquete malicioso seguirá ejecutándose hasta que el dispositivo se restablezca de fábrica o hasta que se elimine manualmente».
La buena noticia es que hasta el momento no hay evidencia de que la falla se esté explotando en la naturaleza, pero aún así, si usa esta solución, asegúrese de que esté actualizada a la última versión.
Vía: BleepingComputer (se abre en una pestaña nueva)