Novo dia zero no Cisco IOS XE vem sendo explorado em ataques

Empresa identificou a exploração ativa de uma vulnerabilidade desconhecida no recurso Web User Interface (Web UI) do software Cisco IOS XE quando exposta à internet ou a redes não confiáveis
Da Redação
17/10/2023

A Cisco alerta os administradores de sistemas sobre um novo desvio de autenticação de gravidade máxima em seu software IOS XE que permite que invasores obtenham privilégio de administrador e assumam o controle total dos roteadores e switches afetados remotamente.

A empresa diz que a vulnerabilidade crítica — rastreada como CVE-2023-20198 e ainda aguardando um patch — afeta apenas dispositivos em execução com o recurso Web User Interface (Web UI) habilitado, que também têm o recurso HTTP ou HTTPS Server ativado.

“A Cisco identificou a exploração ativa de uma vulnerabilidade desconhecida no recurso Web User Interface (Web UI) do software Cisco IOS XE (CVE-2023-20198) quando exposta à internet ou a redes não confiáveis”, revelou a empresa nesta segunda-feira, 16.

“A exploração bem-sucedida da vulnerabilidade permite que um invasor crie uma conta no dispositivo afetado com acesso com nível de privilégio 15, concedendo-lhe efetivamente controle total do dispositivo comprometido e permitindo possíveis atividades não autorizadas subsequentes.”

Os ataques foram descobertos em 28 de setembro pelo Centro de Assistência Técnica (TAC) da Cisco após relatos de comportamento incomum em um dispositivo de cliente. A Cisco identificou atividades relacionadas que datam de 18 de setembro, após uma investigação mais aprofundada sobre os ataques. A atividade maliciosa envolveu um usuário autorizado criando uma conta de usuário local com o nome de usuário “cisco_tac_admin” a partir de um endereço IP suspeito.

A empresa descobriu atividade adicional ligada à exploração do CVE-2023-20198 no dia 12 deste mês, quando uma conta de usuário local “cisco_support” foi criada a partir de um segundo endereço IP suspeito. Os cibercriminosos também implantaram um malware para executar comandos arbitrários nos níveis do sistema ou IOS, software usado na maioria dos roteadores Cisco.

“Avaliamos que esses aglomerados de atividade provavelmente foram realizados pelo mesmo operador. Ambos os clusters apareceram próximos, com a atividade de outubro parecendo se basear na atividade de setembro”, disse a Cisco. “O primeiro cluster foi possivelmente a tentativa inicial do ator e testar seu código, enquanto a atividade de outubro parece mostrar o ator expandindo sua operação para incluir o estabelecimento de acesso persistente por meio da implantação do implante.”

Veja isso
Cisco corrige falhas graves em várias categorias de produtos
Cisco alerta sobre dia zero em VPN explorado por ransomware

A empresa aconselhou os administradores a desativar o recurso de servidor HTTP em sistemas voltados para a internet, o que removeria o vetor de ataque e bloquearia os ataques recebidos.

“A Cisco recomenda fortemente que os clientes desativem o recurso Servidor HTTP em todos os sistemas voltados para a internet. Para desativar o recurso Servidor HTTP, use o comando no ip http server ou no ip http secure-server no modo de configuração global”, disse a empresa.

As organizações também são recomendadas a procurar contas de usuário inexplicadas ou criadas recentemente como potenciais indicadores de atividade maliciosa associada a essa ameaça.

“Estamos trabalhando sem parar para fornecer uma correção de software e pedimos aos clientes que tomem medidas imediatas, conforme descrito no comunicado de segurança. A Cisco fornecerá uma atualização sobre o status de nossa investigação por meio do aviso de segurança”, disse a diretora de comunicações de segurança da Cisco, Meredith Corley, ao BleepingComputer em um comunicado por e-mail.

No mês passado, a Cisco alertou os clientes para corrigirem outra vulnerabilidade de dia zero (CVE-2023-20109) em seu software IOS e IOS XE direcionado por invasores na natureza.Para ter acesso ao relatório original da Cisco, em inglês, sobre a vulberabilidade clique aqui.

Compartilhar:

Últimas Notícias