CVE-2023-20198 – Cisco IOS-XE ZeroDay
AS-059-2023
Fecha: 20/Oct/2023
Resumen:
- El 19 de octubre, el número de dispositivos Cisco comprometidos se redujo a 36.541, más de 5.000 menos que desde hace 24 horas.
- El 18 de octubre, vimos un aumento en el número de infecciones de 34.140 a 41.983.
- El 16 de octubre, Cisco publicó un aviso sobre una vulnerabilidad crítica de escalada de privilegios de día cero en su software de interfaz de usuario web IOS XE.
- Esta vulnerabilidad, identificada como CVE-2023-20198, ya se ha utilizado para explotar decenas de miles de dispositivos para instalar una puerta trasera.
- Al momento de esta publicación, los investigadores de Censys observan 34,140 dispositivos que parecen tener instalada la puerta trasera.
Identificar hosts comprometidos.
Talos también detalla un indicador de compromiso (IOC) que cualquier usuario puede utilizar para determinar si su dispositivo ha sido víctima de este ataque:
curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1"
Si el servidor responde con un código de estado 200, junto con una cadena hexadecimal de 18 bytes, entonces el dispositivo ha sido comprometido y está ejecutando la puerta trasera inyectada.
El riesgo persiste después de reiniciar el dispositivo.
Recomendaciones.
Mantenerse actualizado con información confiable, Cisco actualizó su aviso hoy con nuevas direcciones IP y nombres de usuario de atacantes, así como nuevas reglas para el sistema de detección de intrusiones en la red de código abierto Snort y el sistema de prevención de intrusiones.
La recomendación que Cisco ha brindado en su aviso de seguridad para deshabilitar la función del servidor HTTP en los sistemas conectados a Internet es consistente no solo con las mejores prácticas sino también con la orientación que el gobierno de EE. UU. ha brindado en el pasado para mitigar el riesgo de las interfaces de administración expuestas a Internet.
Referencia:
