En progreso: 0day crítico para Cisco IOS XE (Web UI) bajo explotación activa – CVE-2023-20198

Última Actualización: 18 Oct 2023

■ Resumen y hechos claves

• El 16 de octubre de 2023, Cisco informó sobre una nueva vulnerabilidad crítica (CVSS 10.0) en la Interfaz de Usuario Web (Web UI) de los dispositivos Cisco IOS XE. La vulnerabilidad ahora es conocida como CVE-2023-20198, puede ser explotada de forma no autenticada y conduce finalmente a la ejecución remota de código en el dispositivo.
• Cisco alertó sobre la explotación activa de esta vulnerabilidad para implementar un script malicioso conocido como implante (o backdoor) y crear cuentas de usuario con nivel de privilegio 15, otorgando al adversario el control total del dispositivo para actividades de intrusión posteriores.
• En las últimas horas, CronUp ha confirmado un aumento sistemático de los ataques, logrando identificar más de 41.000 dispositivos Cisco comprometidos (al momento de esta publicación) y ha reportado al CSIRT del Gobierno de Chile, más de 2.100 equipos infectados en territorio nacional.
• La recomendación inmediata que ha proporcionado Cisco es desactivar la función de servidor HTTP en los sistemas orientados a Internet. Esto es coherente no sólo con las mejores prácticas, sino también con las recomendaciones del gobierno de EE.UU. respecto al riesgo de exponer a Internet las interfaces de administración. Por el momento, aún no hay parches oficiales.
• Esta alerta se trata de una vulnerabilidad crítica y se recomienda encarecidamente a las entidades afectadas que apliquen inmediatamente los pasos indicados en el aviso PSIRT de Cisco.

■ Análisis del panorama de amenaza mundial

Debido a la severidad de esta alerta, realizamos un estudio para dimensionar el universo de dispositivos posiblemente afectados o comprometidos por esta vulnerabilidad en el mundo.

Según nuestra búsqueda en Shodan (http.html_hash:1076109428,-2027312840), existen más de 152.000 servicios que responden con la Interfaz de Administración Web de Cisco IOS habilitada hacia Internet. La mayoría de dispositivos Cisco IOS responden de igual manera por el puerto 80 y 443, por tal razón, se debe considerar la duplicidad de resultados cuando se habla de IPs únicas.

Por otro lado, nuestra búsqueda en Censys (services.http.response.body_hash=’sha1:c463e275d21f96391a242ae3d0bf5f1d2c15edeb’ or services.http.response.body_hash=’sha1:f3f91fd07eb71a7f8ff34111d85cde781070c4ed’), indica que existen más de 91.400 IPs únicas que responden con la Interfaz de Administración Web de Cisco IOS habilitada. En el TOP de resultados por paises se encuentra Estados Unidos con 17.121 mil dispositivos, Filipinas con 6.581 dispositivos, México con 4.486 dispositivos y Chile con 4.400 dispositivos Cisco Web UI expuestos a Internet.

En la imagen siguiente, las redes con más instancias Cisco Web UI en Chile.

■ Implante y validación remota

La siguiente imagen corresponde al implante instalado en uno de los casos analizados por Cisco Talos, este backdoor permite a los atacantes ejecutar código remoto en los sistemas comprometidos.

De acuerdo al código anterior, las siguientes dos consultas pueden ser utilizadas para validar el compromiso de un sistema de forma remota:

1.- curl -k -X POST "hxxps://IP/webui/logoutconfirm.html?logon_hash=1" Si la respuesta del servidor es un string de 18 caracteres en hexadecimal, el dispositivo está comprometido. PoC mencionada en la alerta de Talos.

2.- curl -k -X POST "hxxps://IP/webui/logoutconfirm.html?menu=1" Si la respuesta del servidor es un string con un formato tipo ‘/1010202301/’, el dispositivo está comprometido. Esta PoC no se menciona en la alerta de Talos. Ejemplo de consultas con resultados positivos

■ Resultados del análisis

De acuerdo a los antecedentes anteriores y a los escaneos dirigidos realizados por nuestra plataforma ATRc® – Alerta Temprana de Riesgos Cibernéticos:

CronUp detectó más de 41.000 dispositivos Cisco comprometidos en el mundo y ha reportado al CSIRT del Gobierno de Chile, más de 2.100 de estos equipos infectados en territorio nacional.

Importante, en este momento no es posible validar que los implantes detectados correspondan efectivamente a la explotación de CVE-2023-20198 o a alguna otra vulnerabilidad adicional.

Nuevos reportes dirigidos a otros CSIRT de Iberoamérica serán enviados en las próximas horas.

Fuente y redacción: cronup.com