Ciberdelincuentes han aprovechado un error crítico de día cero recientemente reconocido por Cisco para comprometer e infectar más de 10,000 dispositivos, según un análisis de un tercero no reconocido de forma oficial, que ejecutan IOS XE con implantes maliciosos.
La lista de productos con este software incluye conmutadores empresariales, enrutadores industriales y de agregación, puntos de acceso, controladores inalámbricos y más.
Cisco alertó el lunes de un ataque activo que aprovecha una vulnerabilidad previamente desconocida en la función de interfaz de usuario web (WebUI, por su acrónimo en inglés) del software Cisco IOS XE cuando se expone a internet o a redes que no son de confianza.
La WebUI es una herramienta integrada de gestión del sistema basada en GUI que proporciona la capacidad de aprovisionar el sistema, simplificar la implementación y la capacidad de gestión del sistema y mejorar la experiencia del usuario.
De acuerdo con un aviso de seguridad de la empresa, dicha vulnerabilidad “permite a un atacante remoto no autenticado crear una cuenta en un sistema afectado con ingreso de nivel 15 de privilegio [acceso completo a todos los comandos]”.
Luego, detalló la empresa, un atacante puede usar esa cuenta para controlar el sistema afectado. Cisco recomendó a sus clientes, para cerrar el vector de ataque, deshabilitar la función del servidor HTTP en todos los sistemas conectados a internet.
Cisco omite el número de implantes: VulnCheck
La empresa de inteligencia de amenazas VulnCheck criticó a Cisco por omitir que “se han implantado miles de sistemas IOS XE con acceso a internet”. La compañía dijo en una publicación de blog que escaneó las interfaces web y encontró “miles de hosts implantados”.
El CTO de VulnCheck, Jacob Baines, dijo al sitio Bleeping Computer, que han tomado las huellas digitales de aproximadamente 10,000 sistemas implantados.
“Solo hemos escaneado aproximadamente la mitad de los dispositivos enumerados en Shodan/Censys. No queríamos comprometernos con un número específico ya que está evolucionando a medida que continuamos nuestras actividades”, dijo.
Un reporte de datos hiperoptimizados de acceso a la red sensible (Shodan, por sus siglas en inglés) es un motor de búsqueda diseñado para mapear y recopilar información sobre dispositivos y sistemas conectados a internet.
El fundador y CEO de Aves Netsec, Simo Kohonen, compartió en su cuenta de X una búsqueda de Shodan de dispositivos Cisco con su interfaz de usuario web habilitada en la que se muestra que hay actualmente más de 140,000 equipos expuestos a internet. México se ubica en el cuarto lugar.
Shodan dork for CVE-2023-20198: "http.html_hash:1076109428 " https://t.co/kU0FZNiV1O
— Simo Kohonen (@SimoKohonen) October 17, 2023
Escáner para detectar implantes
VulnCheck lanzó un escáner para detectar estos implantes en los dispositivos afectados.
“Si su organización utiliza un sistema IOS XE, es imperativo que determine si sus sistemas se han visto comprometidos y tome las medidas adecuadas una vez que se hayan descubierto los implantes”, advirtió.
Si bien aún no hay un parche disponible, agregó, puede proteger su organización deshabilitando la interfaz web y eliminando todas las interfaces de administración de Internet inmediatamente”.