Cisco alerta sobre uma nova falha de Zero Day no IOS XE que foi explorada por um agente de ameaça para implantar um malware baseado em Lua de dispositivos.
Rastreado como CVE-2023-20273 (pontuação CVSS: 7,2), o problema está relacionado a uma falha de escalonamento de privilégios no recurso de IU da web e teria sido usado junto com CVE-2023-20198 (pontuação CVSS: 10,0) como parte de um cadeia de exploração.
O invasor explorou primeiro o CVE-2023-20198 para obter acesso inicial e emitiu um comando de privilégio 15 para criar uma combinação local de usuário e senha, disse a Cisco em um comunicado atualizado publicado na sexta-feira (20 de Outubro). “Isso permitiu que o usuário fizesse login com acesso normal.”
O invasor então explorou outro componente do recurso de interface da web, aproveitando o novo usuário local para elevar o privilégio de root e gravar o implante no sistema de arquivos, uma falha à qual foi atribuído o identificador CVE-2023-20273.
Um porta-voz da Cisco mencionou que uma correção que cobre ambas as vulnerabilidades foi identificada e será disponibilizada aos clientes a partir de 22 de outubro de 2023. Nesse ínterim, é recomendado desabilitar o recurso do servidor HTTP.
Embora a Cisco tenha mencionado anteriormente que uma falha de segurança agora corrigida no mesmo software (CVE-2021-1435) havia sido explorada para instalar o backdoor, a empresa avaliou que a vulnerabilidade não estava mais associada à atividade à luz da descoberta de o novo dia zero.
Um ator remoto não autenticado poderia explorar essas vulnerabilidades para assumir o controle de um sistema afetado, disse a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). “Especificamente, essas vulnerabilidades permitem que o ator crie uma conta privilegiada que forneça controle total sobre o dispositivo.”
A exploração bem-sucedida dos bugs pode permitir que os invasores obtenham acesso remoto irrestrito a roteadores e switches, monitorem o tráfego de rede, injetem e redirecionem o tráfego de rede e usem-no como uma ponte persistente para a rede devido à falta de soluções de proteção para esses dispositivos.
O desenvolvimento ocorre no momento em que se estima que mais de 41.000 dispositivos Cisco que executam o software vulnerável IOS XE tenham sido comprometidos por agentes de ameaças usando as duas falhas de segurança, de acordo com dados do Censys e LeakIX.
A 19 de outubro, o número de dispositivos Cisco comprometidos diminuiu para 36.541, disse a empresa de gerenciamento de superfície de ataque. “Os principais alvos desta vulnerabilidade não são grandes corporações, mas entidades e indivíduos menores”.
Entretanto a Cisco lançou oficialmente atualizações de software para resolver as duas falhas de segurança exploradas ativamente para o lançamento 17.9 do software Cisco IOS XE, com correções para as versões 17.6, 17.3 e 16.12 em andamento.