\n<\/aside>\n<\/p>\n
Cisco insta a los clientes a proteger sus dispositivos luego del descubrimiento de una vulnerabilidad de d\u00eda cero cr\u00edtica y activamente explotada que brinda a los actores de amenazas un control administrativo total de las redes.<\/p>\n
\u00abLa explotaci\u00f3n exitosa de esta vulnerabilidad permite a un atacante crear una cuenta en el dispositivo afectado con acceso de nivel de privilegio 15, otorg\u00e1ndole efectivamente control total del dispositivo comprometido y permitiendo una posible actividad no autorizada posterior\u00bb, escribieron el lunes miembros del equipo de seguridad de Talos de Cisco. \u00abEsta es una vulnerabilidad cr\u00edtica y recomendamos encarecidamente que las entidades afectadas implementen inmediatamente los pasos descritos en el aviso PSIRT de Cisco\u00bb.<\/p>\n
En explotaci\u00f3n durante 4 semanas.<\/h2>\n La vulnerabilidad previamente desconocida, identificada como CVE-2023-20198, tiene una clasificaci\u00f3n de gravedad m\u00e1xima de 10. Reside en la interfaz de usuario web del software Cisco IOS XE cuando se expone a Internet o a redes que no son de confianza. Cualquier conmutador, enrutador o controlador de LAN inal\u00e1mbrica que ejecute IOS XE y que tenga la funci\u00f3n de servidor HTTP o HTTPS habilitada y expuesta a Internet es vulnerable. En el momento en que se public\u00f3 esta publicaci\u00f3n, el motor de b\u00fasqueda Shodan mostr\u00f3 que hasta 80.000 dispositivos conectados a Internet podr\u00edan verse afectados.<\/p>\n
Cisco dijo que un actor de amenazas desconocido ha estado explotando el d\u00eda cero desde al menos el 18 de septiembre. Despu\u00e9s de utilizar la vulnerabilidad para convertirse en un usuario autorizado, el atacante crea una cuenta de usuario local. En la mayor\u00eda de los casos, el actor de amenazas implement\u00f3 un implante que le permite ejecutar comandos maliciosos a nivel del sistema o de iOS, una vez que se reinicia el servidor web. El implante no puede sobrevivir a un reinicio, pero las cuentas de usuario locales permanecer\u00e1n activas.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nEl aviso del lunes continu\u00f3 diciendo que despu\u00e9s de obtener acceso a un dispositivo vulnerable, el actor de amenazas explota una vulnerabilidad media, CVE-2021-1435, que Cisco parch\u00f3 hace dos a\u00f1os. Los miembros del equipo de Talos dijeron que hab\u00edan visto dispositivos completamente parcheados contra la vulnerabilidad anterior al instalar el implante \u00aba trav\u00e9s de un mecanismo a\u00fan indeterminado\u00bb.<\/p>\n
El implante se guarda en la ruta del archivo \u201c\/usr\/binos\/conf\/nginx-conf\/cisco_service.conf\u201d. Contiene dos cadenas de variables compuestas de caracteres hexadecimales. El aviso continu\u00f3:<\/p>\n
\nEl implante est\u00e1 basado en el lenguaje de programaci\u00f3n Lua y consta de 29 l\u00edneas de c\u00f3digo que facilita la ejecuci\u00f3n de comandos arbitrarios. El atacante debe crear una solicitud HTTP POST al dispositivo, que ofrece las siguientes tres funciones (Figura 1):<\/p>\n
\nLa primera funci\u00f3n est\u00e1 dictada por el par\u00e1metro \u00abmen\u00fa\u00bb, que debe existir y no debe estar vac\u00edo. Esto devuelve una cadena de n\u00fameros rodeados de barras diagonales, que sospechamos que podr\u00edan representar la versi\u00f3n del implante o la fecha de instalaci\u00f3n.<\/li>\n La segunda funci\u00f3n est\u00e1 dictada por el par\u00e1metro \u00ablogon_hash\u00bb, que debe establecerse en \u00ab1\u00bb. Esto devuelve una cadena hexadecimal de 18 caracteres codificada en el implante.<\/li>\n La tercera funci\u00f3n tambi\u00e9n est\u00e1 dictada por el par\u00e1metro \u00ablogon_hash\u00bb, que verifica si el par\u00e1metro coincide con una cadena hexadecimal de 40 caracteres codificada en el implante. Un segundo par\u00e1metro utilizado aqu\u00ed es \u00abcommon_type\u00bb, que no debe estar vac\u00edo y cuyo valor determina si el c\u00f3digo se ejecuta a nivel del sistema o a nivel de IOS. Si el c\u00f3digo se ejecuta a nivel de sistema, este par\u00e1metro debe establecerse en \u00absubsistema\u00bb, y si se ejecuta a nivel de IOS, el par\u00e1metro debe ser \u00abiox\u00bb. Los comandos IOX se ejecutan en el nivel de privilegio 15.<\/li>\n<\/ol>\n\ncisco<\/p>\n<\/figcaption><\/figure>\n
En la mayor\u00eda de los casos, hemos observado que al instalar este implante, tanto la cadena hexadecimal de 18 caracteres en la segunda funci\u00f3n como la cadena hexadecimal de 40 caracteres en la tercera funci\u00f3n son \u00fanicas, aunque en algunos casos, estas cadenas eran las mismas en diferentes dispositivos. . Esto sugiere que hay una manera para que el actor calcule el valor utilizado en la tercera funci\u00f3n a partir del valor devuelto por la segunda funci\u00f3n, actuando como una forma de autenticaci\u00f3n requerida para la ejecuci\u00f3n del comando arbitrario proporcionado en la tercera funci\u00f3n.<\/p>\n<\/blockquote>\n
Los miembros del equipo de Talos instan encarecidamente a los administradores de cualquier equipo afectado a buscar inmediatamente en sus redes signos de compromiso. El medio m\u00e1s eficaz es buscar usuarios inexplicables o de nueva creaci\u00f3n en los dispositivos. Una forma de identificar si se ha instalado un implante es ejecutar el siguiente comando en el dispositivo, donde la parte \u00abDEVICEIP\u00bb es un marcador de posici\u00f3n para la direcci\u00f3n IP del dispositivo a verificar:<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\ncurl -k -X POST \"https[:]\/\/DEVICEIP\/webui\/logoutconfirm.html?logon_hash=1\"<\/pre>\nLas cuentas de administrador pueden tener los nombres cisco_tac_admin o cisco_support. Las direcciones IP que Cisco ha visto hasta ahora explotando el d\u00eda cero son 5.149.249[.]74 y 154.53.56[.]231. Orientaci\u00f3n adicional de Cisco:<\/p>\n
\n\nVerifique los registros del sistema para detectar la presencia de cualquiera de los siguientes mensajes de registro donde \u00abusuario\u00bb podr\u00eda ser \u00abcisco_tac_admin\u00bb, \u00abcisco_support\u00bb o cualquier usuario local configurado que sea desconocido para el administrador de la red:<\/li>\n<\/ol>\n%SYS-5-CONFIG_P: Configured programmatically by process\u00a0SEP_webui_wsma_http from console as user on line<\/pre>\n%SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user:\u00a0user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023<\/pre>\nNota: El mensaje %SYS-5-CONFIG_P estar\u00e1 presente para cada instancia en la que un usuario haya accedido a la interfaz de usuario web. El indicador a buscar son nombres de usuario nuevos o desconocidos presentes en el mensaje.<\/p>\n
\nVerifique los registros del sistema para ver el siguiente mensaje donde Nombre del archivo <\/strong>es un nombre de archivo desconocido que no se correlaciona con una acci\u00f3n de instalaci\u00f3n de archivo esperada:<\/li>\n<\/ol>\n%WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename It should go without saying but the HTTP and HTTPS server feature should never be enabled on internet-facing systems as is consistent with long-established best practices. Cisco reiterated the guidance in Monday\u2019s advisory.<\/pre>\n<\/blockquote>\nNo hace falta decirlo, pero la funci\u00f3n de servidor HTTP y HTTPS nunca debe habilitarse en sistemas conectados a Internet, como es consistente con las mejores pr\u00e1cticas establecidas desde hace mucho tiempo. Cisco reiter\u00f3 la orientaci\u00f3n del aviso del lunes.<\/p>\n
Esta vulnerabilidad es relativamente f\u00e1cil de explotar y brinda a los piratas inform\u00e1ticos la capacidad de realizar todo tipo de acciones maliciosas contra las redes infectadas. Cualquiera que administre equipos de Cisco debe leer atentamente el aviso y el aviso PSIRT mencionado anteriormente y seguir todas las recomendaciones lo antes posible.<\/p>\n<\/p><\/div>\n
\nSource link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Agrandar \/ Los cables llegan a un conmutador de datos de Cisco. im\u00e1genes falsas Cisco insta a los clientes a proteger sus dispositivos luego del descubrimiento de una vulnerabilidad de…<\/p>\n","protected":false},"author":1,"featured_media":844483,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[58129,23770,10392,30699,133,483,33297,17175,6402,2028,3290,73],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/844482"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=844482"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/844482\/revisions"}],"predecessor-version":[{"id":844484,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/844482\/revisions\/844484"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/844483"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=844482"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=844482"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=844482"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}