Si se explotan, estas fallas pueden permitir a los atacantes obtener acceso no autorizado a información confidencial o, en general, causar problemas
Durante las ultimas semanas Cisco ha estado envuelto en un grave problema de seguridad en la implementación de la interfaz web utilizada en dispositivos Cisco físicos y virtuales equipados con el sistema operativo Cisco IOS XE.
Y es que desde la mitad del mes de octubre, se dio a conocer la noticia de que fue identificada una vulnerabilidad crítica (ya catalogada bajo (CVE-2023-20198), que permite, sin autenticación, acceso completo al sistema con el nivel máximo de privilegios, si tiene acceso al puerto de red a través del cual opera la interfaz web.
Se menciona que el peligro del problema se ve agravado por el hecho de que los atacantes han estado utilizando la vulnerabilidad no parcheada durante más de mes para crear cuentas adicionales “cisco_tac_admin” y “cisco_support” con derechos de administrador, y para colocar automáticamente un implante en los dispositivos que proporciona acceso remoto para ejecutar comandos en el dispositivo.
El problema con la vulnerabilidad es que genero una segunda vulnerabilidad (CVE-2023-20273) la cual fue utilizada en un ataque para instalar un implante en dispositivos que ejecutan Cisco IOS XE. y sobre la cual Cisco informo que los atacantes aprovecharon después de explotar la primera vulnerabilidad CVE-2023-20198 y permitió el uso de una nueva cuenta con derechos de root, creada durante su explotación, para ejecutar comandos arbitrarios en el dispositivo.
Se menciona que la explotación de la vulnerabilidad CVE-2023-20198 permite a un atacante obtener acceso de nivel de privilegio 15 al dispositivo, que luego puede usar para crear un usuario local e iniciar sesión con acceso de usuario normal. Ademas de ello, esto hizo posible eludir la verificación reemplazando caracteres en la solicitud con la representación «%xx». Por ejemplo, para acceder al servicio WMSA (Agente de gestión de servicios web), puede enviar una solicitud «POST /%2577ebui_wsma_HTTP», que llama al controlador «webui_wsma_http» sin verificar el acceso.
A diferencia del caso de septiembre, esta actividad de octubre incluyó varias acciones posteriores, incluida la implementación de un implante que llamamos «BadCandy» que consta de un archivo de configuración («cisco_service.conf»). El archivo de configuración define el nuevo punto final del servidor web (ruta URI) utilizado para interactuar con el implante. Ese punto final recibe ciertos parámetros, que se describen con más detalle a continuación, que permiten al actor ejecutar comandos arbitrarios a nivel del sistema o a nivel de IOS. Para que el implante se active, se debe reiniciar el servidor web; en al menos un caso observado, el servidor no se reinició, por lo que el implante nunca se activó a pesar de estar instalado.
El implante BadCandy se guarda en la ruta del archivo “/usr/binos/conf/nginx-conf/cisco_service.conf” que contiene dos cadenas variables formadas por caracteres hexadecimales. El implante no es persistente, lo que significa que un reinicio del dispositivo lo eliminará, pero las cuentas de usuario locales recién creadas permanecen activas incluso después de reiniciar el sistema. Las nuevas cuentas de usuario tienen privilegios de nivel 15, lo que significa que tienen acceso completo de administrador al dispositivo. Este acceso privilegiado a los dispositivos y la posterior creación de nuevos usuarios se registra como CVE-2023-20198.
Sobre el caso Cisco ha estado publicando información actualizada tanto de las investigaciones que ha llevado a cabo así como también sobre los análisis técnicos de las vulnerabilidades presentadas y también sobre un prototipo de exploit, el cual fue preparado por un investigador independiente a partir de un análisis del tráfico de atacantes.
A pesar de que, para garantizar el nivel adecuado de seguridad, se recomienda abrir el acceso a la interfaz web solo a hosts seleccionados o a la red local, muchos administradores dejan la opción de conectarse desde la red global. En particular, según el servicio Shodan, actualmente hay más de 140 mil dispositivos potencialmente vulnerables registrados en la red global. La organización CERT ya ha registrado alrededor de 35 mil dispositivos Cisco atacados con éxito.
Finalmente si estás interesado en poder conocer más al respecto sobre la nota, puedes consultar la publicación original en el siguiente enlace.