Si s'exploten, aquestes falles poden permetre als atacants obtenir accés no autoritzat a informació confidencial o, en general, causar problemes
Durant les últimes setmanes Cisco ha estat envoltat d'un greu problema de seguretat en la implementació de la interfície web utilitzada en dispositius Cisco físics i virtuals equipats amb el sistema operatiu Cisco IOS XE.
I és que des de la meitat del mes d'octubre, es va donar a conèixer la notícia que va ser identificada una vulnerabilitat crítica (ja catalogada sota (CVE-2023-20198), que permet, sense autenticació, accés complet al sistema amb el nivell màxim de privilegis, si teniu accés al port de xarxa a través del qual opera la interfície web.
S'esmenta que el perill del problema es veu agreujat pel fet que els atacants han estat utilitzant la vulnerabilitat no aplicada durant més de mes per crear comptes addicionals “cisco_tac_admin” i “cisco_support” amb drets d'administrador, i per col·locar automàticament un implant als dispositius que proporciona accés remot per executar ordres al dispositiu.
El problema amb la vulnerabilitat és que genero una segona vulnerabilitat (CVE-2023-20273) la qual va ser utilitzada en un atac per instal·lar un implant en dispositius que executen Cisco IOS XE. i sobre la qual Cisco va informar que els atacants van aprofitar després d'explotar la primera vulnerabilitat CVE-2023-20198 i va permetre l'ús d'un nou compte amb drets de root, creat durant la seva explotació, per executar comandes arbitràries al dispositiu.
S'esmenta que l'explotació de la vulnerabilitat CVE-2023-20198 permet a un atacant obtenir accés de nivell de privilegi 15 al dispositiu, que després podeu utilitzar per crear un usuari local i iniciar sessió amb accés d'usuari normal. A més, això va fer possible eludir la verificació substituint caràcters a la sol·licitud amb la representació «%xx». Per exemple, per accedir al servei WMSA (Agent de gestió de serveis web), podeu enviar una sol·licitud «POST /%2577ebui_wsma_HTTP», que truca al controlador «webui_wsma_http» sense verificar l'accés.
A diferència del cas de setembre, aquesta activitat d'octubre va incloure diverses accions posteriors, inclosa la implementació d'un implant que anomenem BadCandy que consta d'un fitxer de configuració (cisco_service.conf). El fitxer de configuració defineix el punt final nou del servidor web (ruta URI) utilitzat per interactuar amb l'implant. Aquest punt final rep certs paràmetres, que es descriuen amb més detall a continuació, que permeten a l'actor executar ordres arbitràries a nivell del sistema oa nivell de IOS. Perquè l'implant s'activi, cal reiniciar el servidor web; en almenys un cas observat, el servidor no es va reiniciar, per la qual cosa l'implant mai no es va activar tot i estar instal·lat.
L'implant BadCandy es desa a la ruta del fitxer “/usr/binos/conf/nginx-conf/cisco_service.conf” que conté dues cadenes variables formades per caràcters hexadecimals. L'implant no és persistent, la qual cosa significa que un reinici del dispositiu l'eliminarà, però els comptes d'usuari locals acabats de crear romanen actius fins i tot després de reiniciar el sistema. Els comptes d'usuari nous tenen privilegis de nivell 15, cosa que significa que tenen accés complet d'administrador al dispositiu. Aquest accés privilegiat als dispositius i la posterior creació de nous usuaris es registra com a CVE-2023-20198.
Sobre el cas Cisco ha estat publicant informació actualitzada tant de les investigacions que ha dut a terme així com també sobre les anàlisis tècniques de les vulnerabilitats presentades i també sobre un prototip d'exploit, que va ser preparat per un investigador independent a partir d'una anàlisi del trànsit d'atacants.
Tot i que, per garantir el nivell adequat de seguretat, es recomana obrir l'accés a la interfície web només a hosts seleccionats oa la xarxa local, molts administradors deixen l'opció de connectar-se des de la xarxa global. En particular, segons el servei Shodan, actualment hi ha més de 140 mil dispositius potencialment vulnerables registrats a la xarxa global. L'organització CERT ja ha registrat al voltant de 35 dispositius Cisco atacats amb èxit.
Finalment si estàs interessat en poder conèixer més a l'respecte sobre la nota, pots consultar la publicació original al següent enllaç.