Cisco corrige un error que permite la persistencia de puerta trasera

Iniciado por Dragora, Febrero 03, 2023, 11:58:13 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Cisco ha publicado actualizaciones de seguridad esta semana para abordar una vulnerabilidad de alta gravedad en el entorno de alojamiento de aplicaciones Cisco IOx que puede explotarse en ataques de inyección de comandos.

La falla de seguridad (CVE-2023-20076) se debe a la desinfección incompleta de los parámetros pasados ​​durante el proceso de activación de la aplicación. Fue encontrado y reportado por los investigadores de seguridad Sam Quinn y Kasimir Schulz del Centro de Investigación Avanzada Trellix.

La explotación exitosa en ataques de baja complejidad que no requieren la interacción del usuario permite a los actores de amenazas autenticados remotos ejecutar comandos con permisos de raíz en el sistema operativo subyacente.

"Un atacante podría explotar esta vulnerabilidad al implementar y activar una aplicación en el entorno de alojamiento de aplicaciones Cisco IOx con un archivo de carga útil de activación diseñado", explica Cisco en un aviso de seguridad publicado el miércoles.

La compañía dice que la vulnerabilidad afecta a los dispositivos Cisco que ejecutan el software IOS XE, pero solo si no son compatibles con la ventana acoplable nativa.

Además de los dispositivos basados ​​en IOS XE configurados con IOx, la lista de dispositivos afectados también incluye enrutadores ISR industriales de la serie 800, módulos informáticos CGR1000, puertas de enlace informáticas industriales IC3000, enrutadores industriales WPAN IR510 y puntos de acceso Cisco Catalyst (COS-AP).

La compañía también confirmó que la falla CVE-2023-20076 no afecta los switches Catalyst 9000 Series, el software IOS XR y NX-OS o los productos Meraki.


Habilita la persistencia entre reinicios

Los atacantes solo pueden explotar esta vulnerabilidad si tienen acceso administrativo autenticado a los sistemas vulnerables.

Sin embargo, los investigadores de Trellix explicaron que los actores de amenazas explotan otras fallas de seguridad que permiten la escalada de privilegios o pueden usar varias tácticas para obtener credenciales de administrador.

Por ejemplo, para obtener acceso de administrador a los dispositivos objetivo, pueden usar:

- Credenciales de inicio de sesión predeterminadas: muchos dispositivos de Cisco se envían con el nombre de usuario y la contraseña predeterminados de "cisco:cisco" o "admin:admin", que muchos no pueden cambiar

- Phishing: el método más utilizado por los atacantes para recolectar credenciales es engañar a los empleados para que inicien sesión en una interfaz de usuario de enrutador falsa o suplantar un correo electrónico del enrutador con un enlace a la página de inicio de sesión "solicitando actualizar el firmware".

- Ingeniería social: los atacantes también encuentran éxito al explotar la debilidad humana mediante la ingeniería social para que alguien entregue las credenciales.

Una vez que se cumple este requisito, los atacantes pueden explotar CVE-2023-20076 para obtener "acceso sin restricciones, lo que permite que el código malicioso se esconda en el sistema y persista durante los reinicios y las actualizaciones de firmware",  como explicaron los investigadores .

"Eludir esta medida de seguridad significa que si un atacante explota esta vulnerabilidad, el paquete malicioso seguirá ejecutándose hasta que el dispositivo se restablezca de fábrica o hasta que se elimine manualmente".

Esto es posible porque la inyección de comandos permite omitir las mitigaciones implementadas por Cisco para evitar la persistencia de vulnerabilidades entre reinicios o reinicios del sistema.

El Equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Cisco dice que no encontró evidencia de que esta vulnerabilidad se esté explotando en la naturaleza.

En enero, Cisco  advirtió a los clientes  sobre una vulnerabilidad crítica de omisión de autenticación (CVE-2023-20025) con un código de explotación pública que afectaba a múltiples modelos de enrutadores VPN al final de su vida útil.

Una semana después, Censys encontró  más de 20 000 enrutadores Cisco RV016, RV042, RV042G y RV082  sin parches contra CVE-2023-20025 y expuestos a ataques.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta