Vulnerabilidad de escalada de privilegios en Cisco IOS XE

En el ámbito de la seguridad informática, la identificación y mitigación de vulnerabilidades es una prioridad constante. En este contexto, se ha descubierto una preocupante vulnerabilidad en los productos de Cisco, un líder reconocido en soluciones de red y comunicaciones.

Esta brecha crítica fue identificada en octubre de 2023 en el software Cisco IOS XE, una plataforma avanzada de sistema operativo de red desarrollada por Cisco Systems, que ofrece mayor modularidad, escalabilidad y flexibilidad que sus predecesores.

CVE-2023-20198 se enfoca específicamente en la interfaz de usuario web. Cuando está habilitada, un atacante remoto no autenticado puede crear una cuenta con el nivel de privilegio máximo (nivel 15), lo que le otorga un control total sobre el sistema comprometido. Esta vulnerabilidad ha sido calificada como crítica, con una puntuación CVSS de 10.0, indicando un riesgo extremadamente alto.

Indicadores de compromiso (IOC)

Para determinar si un sistema se encuentra comprometido, realice las siguientes comprobaciones:

  1. Verifique los registros del sistema para detectar la presencia de mensajes de registro donde el usuario podría ser cisco_tac_admin, cisco_support o cualquier usuario local configurado que sea desconocido para el administrador de la red.
  2. Verifique los registros del sistema para detectar la presencia de mensajes de registro donde la IP origen podría ser 5.149.249[.]74 o 154.53.56[.]231.
    • %SEC_LOGIN-5-WEBLOGIN_SUCCESS: Login Success [user: user] [Source: source_IP_address] at 03:42:13 UTC Wed Oct 11 2023
  3. Verifique los registros del sistema para detectar nombres de archivos desconocidos que no se correlaciona con una acción de instalación de archivo esperada.
    • %WEBUI-6-INSTALL_OPERATION_INFO: User: username, Install Operation: ADD filename

Productos afectados:

Esta vulnerabilidad impacta a todos los sistemas que ejecutan el software Cisco IOS XE con la interfaz de usuario web habilitada. La función de interfaz de usuario web se activa mediante los comandos: «ip http server» / «ip http secure-server».

Soluciones:

Hasta la fecha, no se han identificado soluciones definitivas para abordar esta vulnerabilidad.

Mientras tanto el fabricante Cisco recomienda encarecidamente desactivar la función del servidor HTTP en todos los sistemas con acceso a Internet. Esto se logra utilizando los comandos «no ip http server» / «no ip http Secure-server» en el modo de configuración global. Es esencial guardar la configuración actual para evitar que la función del servidor HTTP se habilite de forma inesperada tras un reinicio del sistema.

Recomendaciones:

  • Monitoreo y detección continua: Es crucial mantener una vigilancia constante en los registros del sistema en busca de indicios de actividad maliciosa, como la creación inesperada de cuentas con privilegios elevados.
  • Actualizaciones de seguridad: Estar atento a las actualizaciones y anuncios oficiales de Cisco, y aplicar los parches de seguridad tan pronto como estén disponibles para garantizar la protección contra las vulnerabilidades conocidas.

Referencias: