Share This Article
Foi descoberta uma nova vulnerabilidade no Cisco IOS XE que está sendo ativamente explorada por atacantes. A vulnerabilidade permite que um invasor remoto e não autenticado crie uma conta com nível de privilégio 15 no sistema afetado, o que poderia permitir o controle total do dispositivo.
Catalogada na CVE-2023-20198, a vulnerabilidade afeta o Cisco IOS XE caso a servidor HTTP do dispositivo esteja habilitado, o que já ocorre por padrão. A Cisco recomenda que os clientes desabilitem o serviço HTTP em todos os dispositivos que estiverem expostos na Internet para diminuir o risco de exploração.
Em um boletim de segurança, a Cisco informou que está ciente da exploração, mas que não existem soluções alternativas disponíveis. Ela está trabalhando em um patch para corrigir a vulnerabilidade, mas não tem uma previsão de quando será lançado.
Como a “Arte da Guerra” pode reescrever o cenário atual?
“O fato de ainda não existir um patch torna o problema ainda mais crítico. Os administradores de rede precisam agir rápido para garantir que o acesso via web aos dispositivos Cisco seja desativado ou que seu acesso seja possível apenas a partir de redes privadas seguras e restritas apenas usuários autorizados“, disse John Bambenek, Threat Hunder da Neterinch, uma empresa de análise de dados de segurança com sede na California.
Conforme enfatiza Mayuresh Dani, gerente de pesquisa de ameaças da Qualys, “a Cisco não forneceu a lista dos dispositivos afetados, o que significa que qualquer switch, roteador, WLC rodando o IOS XE e com a interface web exposta na Internet é vulnerável“.
Dani divulgou algumas estatísticas sobre os dispositivos Cisco que estão com a interface exposta. Estas descobertas indicam que mais de 40.000 dispositivos se enquadram nesta categoria, com a maioria deles funcionando na porta 80.
Indicadores de comprometimento
Para determinar se um sistema foi comprometido, os administradores podem analisar os logs do sistema procurando pelas seguintes ocorrências:
%SYS-5-CONFIG_P (Configurado pelo processo SEP_webui_wsma_http do console como usuário on-line)
%SEC_LOGIN-5-WEBLOGIN_SUCCESS (Login bem-sucedido em determinada hora, dia, mês e ano)
Os clientes também podem usar o seguinte comando para verificar a presença do implante:
curl -k -X POST "https://IP_DO_DISPOSITIVO/webui/logoutconfirm.html?logon_hash=1"Se a solicitação retornar uma sequência hexadecimal, é bem provável que o implante esteja presente. Caso não saiba, um implante normalmente é usado para baixar outras ameaças/funcionalidades no sistema afetado.
Créditos do post:
Créditos da imagem usada na capa do post